私はいくつかのpcapファイルを持っていますが、私はwiresharkとその対応するデータのmemcacheプロトコルを見ることができますが、tsharkを使ってバッチデータをエクスポートすると、1文字(0x0b) ?pcapファイルからデータを抽出する方法
私が使用するコマンド:tshark -Y "memcache contains set" -r input.pcap -T fields -e memcache.value ありがとうございます!ところで、memcacheキーは正常に動作します。そして私は彼らが秘密であるので、ここでファイルを共有することはできません。私にとって
作品:
$tshark -r 3006-example.cap -Y "memcache.command==set" -T fields -e memcache.value
hello, world!
noreplyset
テストファイル:私は0x0Bのは、印刷可能なASCII文字ではないことに注意してくださいWireshark bug 3467
に取り付けられています。 memcacheディセクタは、 'value'がASCII文字列であると仮定します。
キャプチャファイルの適切なパケットの 'value'フィールドを見ると、それはASCII文字列ですか?
編集:memcache protocol specを参照すると、「値」フィールドは「非構造化データ」として扱われ、ではなく、ASCII文字列としてと表示されます。お気軽にバグレポートをbugs.wireshark.org
にお寄せください。ありがとうございました!値はバイナリデータですが、このペイロードを抽出できるという提案はありますか? @willyo – 1a1a11a
何も気にしません....(自分で修正するか、バグレポートを提出してバグを修正するのは簡単です:)。 :) – willyo