我的pcaps只包含一个流。我想用tshark重新组装它们,因为libnids会失败,例如:Libnids失败,因为这些流可能没有正确的开始(SYN)并且可能没有正确的结尾(FIN)。因此,wireshark / tshark很有用。但是,我可以输出流内容,但如何知道数据包是否结束?使用TCP(和ipv4)时,数据包将被拆分。但是,如果很多数据包连续拆分呢?所以我的意思是,所有有效载荷都来自node2(与node1通信)。因此,tshark在它们之前使用一个标签显示它来自节点2,如下所示:
\t00000000 aa bb cc dd ee ff .......
\t00000010 00 11 22 .....
\t00000020 ff ff .. //some new packet
但是如何识别,00000020是一个新的数据包?所以我想要的就是全部重新组装,但是像这样拆分有效载荷:
节点2:AABBCCDDEEFF ... 001122 ... 节点2:FFFF .....
我目前正在使用
$ tshark -r name.pcap -z "follow,tcp,hex,0"
感谢您的帮助。