我需要从pcap文件中的udp数据包中读取有效负载信息。
tshark -x -c 10 -r traces / trace.pcap udp
0000 00 22 4d a8 1f 7f 80 3f 5d 08 52 35 08 00 45 00。“M ....?”。R5..E。0010 05 94 03 e6 40 00 40 11 3b 46 c0 a8 ba 6c c0 a8。 ... @。@ .; F ... l ... 0020 ba 6f d4 80 05 dc 05 80 4e 9e 00 00 80 25 1b 3a .o ...... N ....%。:0030 fd 9e 00 00 00 01 00 00 00 06 5b 29 c2 5b 78 ed .......... [)。[x.0040 00 00 1b 6f c2 5b 78 ed 00 00 1e c4 30 5b 00 00 .. .o。[x ..... 0 [.. 0050 00 00 85 c7 09 00 00 00 00 00 01 00 00 00 06 00 ................ 0060 00 00 c0 07 1c 00 00 00 00 00 c0 07 3c 00 00 00 ............ <... 0070 00 00 c0 07 3c 00 00 00 00 00 78 78 78 78 78 78 ...... <..... XXXXXX
我从tshark获得上述输出,但有效载荷包括来自udp服务器的数据包到达和离开时间,我需要如何从上述信息中检索到达和离开时间。
要将数据包打印为十六进制(-x)和带有tshark中时间戳的摘要,请添加-P选项。要将时间戳设置为绝对值而不是相对值,请添加-ta选项。有关更多信息,请参阅the documentation。