我有一个CSV记录,如下所示。
“1”、“0.000000”、”2.1.1.2“、”2.1.1.1“、“IPv4”、“1010”、“分段IP协议(协议=ICMP 1,关闭=0,ID=b5d0)[在#2中重新组装]"
我的要求是使用.NET库将此单个记录转换为如下图所示的pcap记录。
在这方面有专业知识的人能帮助我如何实现这一点,以便在Wireshark中成功打开和查看生成的pcap文件吗?
8yparm6h1#
这似乎是Wireshark/TShark中数据包列表列的CSV。pcap文件包含的是与网络上传输的内容相对应的原始二进制数据包数据。数据包列表是一个数据包 * 摘要 * 的列表;这意味着一些分组数据在摘要中不生成任何文本,因此不可能从摘要重新生成分组数据。该数据包是包含两个片段的分段IP数据包中的第一个片段(如“Reassembled in #2”所示),并且在生成CSV时,Wireshark/TShark配置为重组IP分片,直到最后一个分片才解析重组后的数据包,并且将其他片段显示为片段。这意味着几乎“所有"数据-该片段的整个有效载荷-没有在概要中显示,因此是不可利用的并且不可能再生。我的建议是,您可以与提供CSV的人员交谈,并向他们索取用于生成CSV的捕获文件。
1条答案
按热度按时间8yparm6h1#
这似乎是Wireshark/TShark中数据包列表列的CSV。
pcap文件包含的是与网络上传输的内容相对应的原始二进制数据包数据。数据包列表是一个数据包 * 摘要 * 的列表;这意味着一些分组数据在摘要中不生成任何文本,因此不可能从摘要重新生成分组数据。
该数据包是包含两个片段的分段IP数据包中的第一个片段(如“Reassembled in #2”所示),并且在生成CSV时,Wireshark/TShark配置为重组IP分片,直到最后一个分片才解析重组后的数据包,并且将其他片段显示为片段。这意味着几乎“所有"数据-该片段的整个有效载荷-没有在概要中显示,因此是不可利用的并且不可能再生。
我的建议是,您可以与提供CSV的人员交谈,并向他们索取用于生成CSV的捕获文件。