[lug-ld] Wireshark Ahnung?

[Christian Boltz]

Hallo Ekki, hallo zusammen,

Am Sonntag, 10. November 2019, 21:03:18 CET schrieb Ekki Plicht (DF4OR):
> Kennt sich jemand mit Wireshark aus? 

Nicht wirklich, aber ich probiers trotzdem mal ;-)

> Ich versuche gerade eine UDP
> Kommunikation reverse-zu-engineeren (weia :) und scheitere schon
> daran, die gecapturten (weia2) Daten so zu speichern, das ich sie
> weiter bearbeiten kann.
> 
> Was ich machen will ist den DATA Bereich (Das was wireshark nicht
> dissecten kann) als eine art Hexdump abzuspeichern, und zwar für alle
> Pakete des captures. Für einzelne Pakete kann man das copy/pasten
> aber der export für alle Pakete exportiert die Daten z.B. als CSV
> datei, den nicht disscecteten Teil aber als raw bytes und nicht als
> Hex. Das führt beim Import z.B. in Libre Office Calc zu Gammel...
> 
> Any idea?

Ich habe gerade eine Runde trial&error mit den Optionen auf
https://www.wireshark.org/docs/wsug_html_chunked/ChIOExportSection.html
gemacht.

Die Exportvarianten "PDNL XML" und "JSON" exportieren alle Pakete incl. 
Datenbereich - im XML bzw. JSON findest Du dann unter anderem ein 
"data.data"-Feld mit dem gewünschten Infos. (Falls Du das mal für TCP 
brauchst - da heißt das Feld scheinbar "tcp.payload".)

Ich persönlich würde eher JSON als XML nehmen, aber das ist wohl 
Geschmackssache.

Die Weiterverarbeitung per Script traue ich Dir dann durchaus zu ;-)


Alternativ habe ich auch das gefunden: (ungetestet)
https://osqa-ask.wireshark.org/questions/38998/automating-extraction-of-udp-payload-from-pcap-file


Gruß

Christian Boltz
-- 
Wünschenswert wäre es auch, wenn Umfragen vor jeder Bundestagswahl,
ob die Erst- oder die Zweitstimme die wichtigere sei, wenigstens
soviele richtige Ergebnisse zeitigten, als würde man die gleiche
Anzahl Schimpansen befragen. ;)  [Bernd Brodesser in suse-linux]