tshark调试记录

最新推荐文章于 2024-04-29 21:37:26 发布
最新推荐文章于 2024-04-29 21:37:26 发布
阅读量259 收藏 1
点赞数
文章标签: shell python 数据结构与算法
原文链接:https://my.oschina.net/zhangtk/blog/478152
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

01  编译tshark

    从wireshark官方下载源代码进行编译,本博客使用稳定版本1.12.6。编译过程中可能要升级Glib库,而Glib库可能需要信赖PCRE。

    为了方便调试需要把编译器的优化功能关闭,同时不编译带GUI的wireshark,可以使用如下命令,统一关闭优化并在编译时加入调试信息。

./configure --enable-wireshark=no CFLAGS=-g3\ -O0 CXXFLAGS=-g3\ -O0

02  调试

    wireshark源代码根目录下的tshark是一个shell脚本,调用了./libs/tshark可执行程序,shell脚本在调用真正的tshark之前做了一些环境准备,主要是库路径的指定。简单一点可以直接安装所有编译后的二进制程序。

sudo make install
sudo ldconfig

    安装之后再来调试真正的tshark程序。

03  关键数据结构

    wireshark在解析完一条报文后返回一个树形结构,包含了报文各层协议的字段信息,遍历这个树的语义是:

    (1)给一颗树,先遍历first_child子树,后遍历next子树;

      (2) 递归步骤1

    edt->tree的孩子对应各层协议,每层协议的子树对应各层协议的字段

转载于:https://my.oschina.net/zhangtk/blog/478152

weixin_33817333
关注
网络工程师的秘密武器:记住这些命令,效率杠杠翻倍!
网络技术联盟站
09-13 528
作为一名网络工程师,无论是在配置设备、故障排除,还是进行网络性能优化时,命令行工具都是日常工作中必不可少的“武器”。掌握一系列高效的命令,不仅可以提高工作效率,还能帮助你更快速地解决各种复杂的网络问题。本篇文章将深入探讨一系列适用于不同场景的命令工具,涵盖网络设备的配置、监控、故障排除以及性能优化等多个方面。
史上最全wireshark使用教程,8万字整理总结,建议先收藏再耐心研读
热门推荐
孙叫兽的博客
07-14 3万+
目录 第1章介绍... 1 1.1.什么是Wireshark. 1 1.1.1.主要应用... 1 1.1.2.特性... 1 1.1.3.捕捉多种网络接口... 2 1.1.4.支持多种其它程序捕捉的文件... 2 1.1.5.支持多格式输出... 2 1.1.6.对多种协议解码提供支持... 2 1.1.7.开源软件... 2 1.1.8.Wireshark不能做的事... 2 1.2.系通需求... 2 1.2.1.一般说明... 2 ...
tshark源码分析程序流程图(VISIO)
06-22
由于要做码流处理,最近把功能强大开源的wireshark当成了“捷径”,想从其中摘取解析引擎部分。这就开始了全部源码的编译、分析过程。大概用了两周,基本捋清了它的运行机制。但到摘取代码的时候发现,难度好大,源文件众多,条件编译众多,依赖库众多。。。现将2周分析源码的“成果”贴出来(更多的是想与同样分析wireshark的网友一起探讨,经验分享),有不恰当及错误的地方,欢迎各位大神指正,如果能帮助到其他人则是更好,现以流程图方式展现。注意:  此流程图是在指定抓取固定包数的模式下进行的(因为其源码条件抓包分为文件及包数的方式)。命令格式如:./tshark -c 200 并且,流程图中未详尽列出从Frame到应用层协议(HTTP)解析的层层调用关系,这一步可以在相关应用层协议的解析器函数打上断点(例如HTTP:b dissect_tcp_http),gdb模式下直接bt,看栈信息即可。
CentOS7.5下编译wireshark-3.4.7源码及测试tshark
Fighting! Go! Go! Go!
07-24 1315
CentOS7.5下编译wireshark-3.4.7源码及测试tshark一、源码编译二、测试tshark   在分析网络协议时离不开Wireshark,为了方便后续深入源码学习协议解析细节,所以编译源码,过程如下: 一、源码编译 wireshark-3.4.7源码下载: https://1.as.dl.wireshark.org/src/wireshark-3.4.7.tar.xz. 编译环境依赖库参考文档:https://www.wireshark.org/docs/wsdg_html_chun
tshark ARM版本编译,使用说明
03-13
tshark的ARM版说明,涉及交叉环境的设置及编译,使用说明等,已经在OPENWRT环境下运行,有问题可留言
全网第三详细tshark使用帮助
12-11 7544
一 前言tshark作为wireshark的命令行版本,功能非常强大,可以抓包,数据包分析、提取文件、提取分析后的数据还支持各种格式,可以说一把流量分析的瑞士军刀,如果在低流量的场景,包装下tshark命令,就可以做个功能比较丰富的分析系统了,结合检测规则,一个简单点的IDS系统就出来了。二 核心功能2.1 抓包如同tcpdump一样,tshark也可以通过命令行方式进行流量捕获,功能一点也不弱。...
tshark在流量分析中的绝佳应用(超详细)
LainWith的博客
03-28 1万+
目录简介参数tshark与wireshark对比基本命令获取数据包摘要信息显示时间格式捕获过滤器捕获并保存数据包显示过滤器区分显示过滤器和读取过滤器一些好用的显示过滤器-e参数的应用HTTP中的应用案例mysql中的应用案例-z参数的应用专家信息:**-z expert**追踪流:**-z follow**-z http统计数据包信息统计会话统计出所有IP显示每个协议树的具体信息导出对象追踪流追踪tcp流/http流追踪流数量读取TCP流-纯16进制读取TCP流-16进制读取TCP流-ascii获取TCP流
rdp-logging:[原型]一个小的addon-sdk模块,用于记录发送和接收的Mozilla远程调试协议消息,并可以选择使用plantuml生成UML序列图
05-29
这个包包含一个小的实用程序模块,它有助于注入“Mozilla 远程调试器协议”消息登录到调试器客户端传输并将记录的消息保存到 JSON 文件中,并使用 PlantUML 语法生成 UML 序列图(如但没有 tshark 和节点依赖项)或...
Wireshark 使用技巧详解
悦分享
11-05 4794
显示过滤器远比抓包过滤器更加灵活和强大。显示过滤器不会丢失数据包,只是为了增强用户阅读而将一部分数据包隐藏起来。丢弃数据包有时并非明智选择,因为一旦数据包被丢弃,这些数据包也就无法再恢复回来了。在分组列表面板上面的输入框,你可以输入显示过滤器,或者通过下拉显示近期使用的过滤器记录,来选择使用显示过滤器。在用户配置了显示过滤器之后,只有那些满足用户过滤器设置条件的数据包才会被显示出来。使用应用了显示过滤器之后,就会在Wireshark状态栏的第二列看到使用显示过滤器后的相关信息。
Wireshark 4.0.0 如约而至,这些新功能更新的太及时了!
网络技术联盟站
10-08 2338
Wireshark 是世界上最流行的网络协议分析工具(我们一般称之为”抓包工具“),主要用于故障排除、分析、开发。不再提供官方 32 位 Windows 软件包;显示过滤器语法更强大,有许多新的扩展;对话和端点对话框已重新设计;默认主窗口布局已更改,Packet Detail 和 Packet Bytes 在 Packet List 窗格下方并排显示;来自 Wireshark 和 from 的十六进制转储导入text2pcap得到改进;使用 MaxMind 地理定位时的速度大大提高;
网络报文分析工具Tshark轻松掌握
共同学习、强我国家
08-24 3968
tshark作为Wireshark的配套子命令,在CLI场景下能胜任Wireshark绝大部分功能,对于需要批量处理、筛选过滤、导出、统计分析、定制化输出等能力。当然,tshark同时具备抓包和分析包的能力,简单理解为tshark是wireshark的CLI版本,但Linux端抓包基本上业界都会使用tcpdump,并且它基本能覆盖抓包的所有场景,如果想要了解tcpdump的用法,可以参照笔者总结的这篇文章。
tshark一些常用命令参数解析
nuisthou的博客
09-10 6510
https://www.wireshark.org/docs/man-pages/tshark.html官方阅读文档; 捕获接口:   -i: -i <interface> 指定捕获接口,默认是第一个非本地循环接口;   -f: -f <capture filter> 设置抓包过滤表达式,遵循libpcap过滤语法,这个实在抓包的过程中过滤,如果是分析本地文件则用不到。 ...
tshark功能详解
u011546911的博客
10-28 4365
Tshark是wireshark的命令行工具,能够无缝地融入linux/windows脚本语言,使嗅探、分析协议的工作变得容易。 基本语法:tshark [ -a ] … [ -b ] … [ -B <capture buffer size (Win32 only)> ] [ -c ] [ -d ==, ] [ -D ] [ -f ] [ -F ] [ -h ] [ -i |- ] [ -l ] [ -L ] [ -n ] [ -N ] [ -o ] … [ -p ] [ -q ]
攻防世界 流量分析1 (tshark使用)
最新发布
qq_52127908的博客
04-29 285
打开wireshark,发现主要流量为http追踪一个http流,很明显发现两层url编码。进行两次url解码,url解码脚本如下。输入内容得到的内容。
TLS/SSL 协议详解(18) Change cipher
Network/Storage/Linux Kernel
09-07 2517
这是一个无关紧要的数据。在TLS1.3中就被废弃了(可以发送、也可以不发送)。 需要注意的是,该数据本身不被计算握手摘要,因为它的type不是Handshake。 发送改报文表示自己后续的发送数据会被新秘钥加密,所以一般开源代码的处理流程,是在读到该数据时,去计算(derive) read侧的密钥(即解密密钥、解密hmac密钥,解密IV),然后调用read函数时就自然而然的进行解密了。 ...
tshark源码解析
weiqianglg的专栏
07-31 1839
鉴于没有在网上找到很好的tshark源码解析资源,自己就捣鼓一篇吧,作为备忘录。 本文基于tshark.c,源自wirshark 3.2.4。 tshark介绍 Tshark是wireshark的命令行版本,安装wireshark之后,能够通过tshark -h获得完整的参数说明,安装目录下的tshark.html提供了更详细的说明。本文不关注使用tshark,而是为了改造tshark做源代码准备。 本文tshark源码解析的关注点 tshark的源码在当前版本中长达4000+行,由于
exceptions.IOError: decoder jpeg not available
weixin_33836223的博客
01-08 98
1.确保安装PIL所需的系统库 yum -y install zlib  yum -y install  zlib-devel yum -y install libjpeg  yum -y install  libjpeg-devel yum -y install freetype  yum -y install  freetype-devel   2.下载Imaging-1.1....
tshark学习笔记(一)
wkend的博客
05-02 1208
TShark (Wireshark) 2.4.5 (Git v2.4.5 packaged as 2.4.5-1) Dump and analyze network traffic. See https://www.wireshark.org for more information. 转储和分析网络流量 Usage: tshark [options] ... Capture i...
ARM环境编译与使用tshark指南
在OPENWRT环境中,tshark可以用来捕获和分析网络流量,对网络诊断和调试非常有用。 在使用tshark时,用户应熟悉其命令行选项,如指定输入文件、过滤器表达式、数据包解析模式等。同时,由于是在ARM设备上运行,可能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值