如何從pcap文件中提取數據

Question

我有幾個pcap文件，我可以在wireshark和它的相應數據中看到memcache協議，但是當我使用tshark批量導出數據時，它只顯示一個字符（0x0b），爲什麼？

我使用的命令：tshark -Y「memcache contains set」-r input.pcap -T fields -e memcache.value 謝謝！ 順便說一句，memcache鍵可以正常工作。我不能在這裏分享這些文件，因爲它們是保密的。

Answer 1

工作對我來說：

$tshark -r 3006-example.cap -Y "memcache.command==set" -T fields -e memcache.value 
hello, world! 
noreplyset 

測試文件：附於Wireshark bug 3467

我注意到，0x0B中是不是可打印的ASCII字符。 memcache解析器假定'值'是一個ascii字符串。

如果您查看捕獲文件中相應數據包的「值」字段，它是一個ASCII字符串嗎？

編輯：看memcache protocol spec，似乎在「價值」字段應爲「非結構化數據」和不爲ASCII字符串處理。請隨時提交錯誤報告bugs.wireshark.org