В настоящее время я работаю над анализом файлов pcap, которые я записал и расшифровал с помощью aircrack-ng.Я смотрю на TCP-пакеты и хочу показать их красиво с помощью tshark-script.Можно ли заменить числовые значения текстом в выводе tshark?
Мне также интересно, можно ли назначить вывод tshark для переменных в сценарии?
tshark -r readfile.pcap -T fields -e frame.number -e _ws.col.Time -e data -e tcp.analysis.retransmission -e tcp.analysis.out_of_orders
Вывод следующий:
number| time | data/payload | 1/NULL (retransmission) | 1/NUL(out
23 48.151077
24 48.151028 1
25 48.152101
26 48.152052 1
27 48.154661
28 48.155124 1
29 48.163865 0002303030303030
30 48.164404 1
31 48.168025 0003303030303030
Но я хотел бы представить вывод наподобие:
number | time | data/payload | RETRANS | Out_of_order
23 48.151077
24 48.151028 RETRANS
25 48.152101
26 48.152052 RETRANS
27 48.154661
28 48.155124 RETRANS
29 48.163865 0002303030303030
30 48.164404 RETRANS
31 48.168025 0003303030303030
слева у вас есть пакетномер и метка времени из файла pcap.Байты 00023030303 ... - это перехваченные пакеты, которые были отправлены между клиентом и сервером (от 1 до 100).Одиночные байты - это флаги tcp.