我找到了一种从命令行设置ESP首选项的方法,即加密密钥,身份验证密钥。我试过下面的命令,但wireshark总是说没有偏好匹配我的
tshark -i - -Y“sip || esp”-d tcp.port ==“5000-65535”,sip -d udp.port ==“5000-65535”,sip -T text -l -O“sip,esp”-o esp.enable_null_encryption_decode_heuristic:true -o esp.enable_authentication_check:true -o esp.enable_encryption_decode:true -o“esp.sa_1:IPv4 | * | * | *” - o “esp.encryption_algorithm_1:AES-CBC [RFC3602]” - o “esp.encryption_key_1:0xC5DA46E7FF43C8D6C0DD3A2707E42E05”-o “esp.authentication_algorithm_1:HMAC-MD5-96 [RFC2403]” - o “esp.authentication_key_1:0xE5A349FCBAD409D15C766702CD400BA4”> d:\测试\ dump2.txt
总是说“esp.sa_1”标志未知。与esp.encryption_algorithm_1和esp.authentication_algorithm_1相同,依此类推。
我已经四处搜索并认为esp.sa_1仅适用于旧版本的wireshark。
有没有人知道如何在wireshark 2.2.5上有这些偏好?
非常感谢!
答案 0 :(得分:0)
不幸的是,ESP preferences维基页面已过期。 ESP首选项已更改为UAT(用户访问表),因此您可以更简单地创建 esp_sa 文件,而不是指定个人首选项。学习文件格式的最简单方法可能是首先在Wireshark中创建一个,但是从source code,您可以看到每个条目包含以下信息:
例如,条目可能如下所示:
"IPv4","","","","AES-CBC [RFC3602]","0xC5DA46E7FF43C8D6C0DD3A2707E42E05","HMAC-MD5-96 [RFC2403]","0xE5A349FCBAD409D15C766702CD400BA4"
但是如果你真的想在命令行上指定这些选项而不是创建或修改 esp_sa 文件,那么你可以这样做。来自Wireshark用户指南的第10.2节Start Wireshark from the command line:
可以使用“uat”覆盖用户访问表,后跟UAT文件名和文件的有效记录:
wireshark -o "uat:user_dlts:\"User 0 (DLT=147)\",\"http\",\"0\",\"\",\"0\",\"\""
上面的示例会将libpcap数据链接类型为147的数据包解析为HTTP,就像您在DLT_USER协议首选项中配置它一样。
所以,在你的情况下,你会使用类似的东西:
<强>的Unix
tshark.exe -o 'uat:esp_sa:"IPv4","","","","AES-CBC [RFC3602]","0xC5DA46E7FF43C8D6C0DD3A2707E42E05","HMAC-MD5-96 [RFC2403]","0xE5A349FCBAD409D15C766702CD400BA4"'
<强>窗
tshark.exe -o "uat:esp_sa:\"IPv4\",\"\",\"\",\"\",\"AES-CBC [RFC3602]\",\"0xC5DA46E7FF43C8D6C0DD3A2707E42E05\",\"HMAC-MD5-96 [RFC2403]\",\"0xE5A349FCBAD409D15C766702CD400BA4\""