我的wifi嗅探设备可以将数据输出到原始文件。但它可能从一帧的中间开始,每一帧都是从另一帧开始。 pcap文件必须包含我不具备的数据包标头。所以我试图丢弃文件开头的半完整帧,并将其余的放入一个带有一个数据包的pcap文件中。然后wireshark可以分析第一帧,即使数据包大小错误。 我的问题是如何让wireshark分析其余的帧?
编辑:这是一个带有2帧的示例pcap,但没有第二个数据包标题
00000000 D4 C3 B2 A1 02 00 04 00 00 00 00 00 00 00 00 00 Ôò¡............
00000010 FF FF 00 00 69 00 00 00 05 00 00 00 00 00 00 00 ÿÿ..i...........
00000020 80 00 00 00 80 00 00 00 08 02 00 00 01 00 5E 00 €...€.........^.
00000030 00 FC E8 94 F6 3C 5F 40 20 68 9D 9A 4B D7 70 73 .üèâ€Ã¶<_@ h.Å¡K×ps
00000040 AA AA 03 00 00 00 08 00 46 00 00 20 38 F8 00 00 ªª......F.. 8ø..
00000050 01 02 48 D5 C0 A8 01 66 E0 00 00 FC 94 04 00 00 ..HÕÀ¨.fà ..üâ€...
00000060 16 00 09 03 E0 00 00 FC 08 02 00 00 01 00 5E 7F ....à ..ü......^.
00000070 FF FA E8 94 F6 3C 5F 40 20 68 9D 9A 4B D7 F0 75 ÿúèâ€Ã¶<_@ h.Å¡K×ðu
00000080 AA AA 03 00 00 00 08 00 46 00 00 20 38 F9 00 00 ªª......F.. 8ù..
00000090 01 02 39 D6 C0 A8 01 66 EF FF FF FA 94 04 00 00 ..9ÖÀ¨.fïÿÿúâ€...
000000A0 16 00 FA 04 EF FF FF FA ..ú.ïÿÿú
答案 0 :(得分:0)
我的问题是如何让wireshark分析其余的帧?
检测位序列中帧的开头和结尾,并将每个帧放入pcap文件中的单独记录中。
如果位序列中没有任何内容允许您的软件确定一帧结束和另一帧开始的位置,则位序列中没有任何内容允许 Wireshark 这样做,所以如果你想让Wireshark分析仪帧超过第一帧,你就 FORCED 以确保比特流中有某些东西来确定帧边界,你也可以这样做让你的软件将比特流分解成帧。