我想通过屏幕上的tshark捕获Diameter协议(通过SCTP)的消息,进行扩展。
首先,我在切换'-f'之后找不到要写的内容,只过滤直径消息,但后来我找到了接受'直径'的开关'-R'。
所以,目前我的命令似乎是:
tshark -i el0 -R diameter -V
这一切都很好,至少,直到数据包足够小 ..
然而,对于更大的数据包,我收到错误[Unreassembled Packet: DIAMETER]
[Expert Info (Warn/Reassemble): Unreassembled Packet (Exception occurred)]
[Message: Unreassembled Packet (Exception occurred)],
并且数据包确实没有在输出中重新组装。
我正在谷歌搜索解决方案,并发现以下修改可能会进行碎片整理:
tshark -i el0 -R diameter -V -o ip.defragment:TRUE
但它没有帮助。
针对此问题的任何简单解决方案? (也可以以某种方式处理碎片整理 。)
答案 0 :(得分:1)
最后我找到了它!
在wireshark中有一个用于多个协议相关选项的复选框,特别是对于直径碎片整理,您需要标记复选框
Reassemble fragmented SCTP user messages
正确显示长径信息。
这些协议选项中的每一个都有自己的tshark通讯员参数,在这里您必须使用-o sctp.reassembly:TRUE。
(一般情况下,查找属于wireshark的文件preferences。)
那么,最终有效的方法是
tshark -i EL0 -f sctp -w raw_capture.pcap
tshark命令处理该文件:tshark -r raw_capture.pcap -R diameter -o sctp.reassembly:TRUE -V