取消
显示结果 
搜索替代 
您的意思是: 
cancel
3971
查看次数
0
有帮助
2
评论
Xu Xing
Cisco Employee
Cisco Employee
这篇文章主要是为了介绍一下wireshark自带的小工具text2pcap,这个小工具可以帮助我们将16进制的文件转换为pcap文件,让我们可以直接用wireshark中打开。该工具存在wireshark安装目录下,无法直接打开,只能通过CMD运行.

  • 打开wireshark的安装目录,在安装目录下新建一个text文档,如下图所示
213333bc8e8u2u22cii17p.png


  • 将16进制的数据按下图格式进行整合,注意前6个字节一定要对应MAC地址,要不然转换会出错,那么如何才能让前六个字节对应MAC地址呢?这个需要对数据中的一些字段有敏感度,例如(45 00,标准的IPv4报文,该字段前14个字节就是二层包头)
213444gm0w4ae9h0fky0lo.png


  • 打开CMD命令行,进入wireshark安装的根目录,进行转换.如下
Microsoft Windows [版本 10.0.17134.407]
(c) 2018 Microsoft Corporation。保留所有权利。
C:\Users\xuxing>D:
D:\>cd D:\Wireshark
D:\Wireshark>
D:\Wireshark>
D:\Wireshark>text2pcap.exe 12_19.txt 12_19.pcap
Input from: 12_19.txt
Output to: 12_19.pcap
Output format: PCAP
Wrote packet of 64 bytes.
Read 1 potential packet, wrote 1 packet (104 bytes).
D:\Wireshark>

  • 再次查看wireshark安装的根目录,包含刚刚所转换的文件了

213605zvcjp9fq3vqymr6a.png

参考文档:

https://www.wireshark.org/docs/man-pages/text2pcap.html
TS case:

分享一个使用这个小工具的案例,最近遇到一个CISCO路由器和其它厂商对接BGP,频繁flapping的问题,

May 15 15:03:12.189 Beijing: %BGP-6-MSGDUMP_LIMIT: unsupported or mal-formatted message received from 2222:EEEE:1111:22::43:
FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF 00BD 0200 0000 A640 0101 0040 0216 0205
0000 12CB 0000 12CC 0000 1026 0000 1B1B 0000 7330 F020 0150 0000 2349 0000 0000
0000 0000 0000 2349 0000 0001 0000 04F9 0000 2349 0000 0001 0000 0C89 0000 2349
0000 0001 0000 0CF8 0000 2349 0000 0001 0000 1A44 0000 2349 0000 0001 0000 22BD
0000 2349 0000 0001 C008 0412 CB00 6590 0E00 2A00 0201 2024 0E00 E18C 0000 0200
0000 0000 0000 04FE 8000 0000 0000 00CE 1AFA FFFE E739 E000 2020 011A 30
通过查看log,可以看到类似这样的报文出现,然后BGP报文就down,然后过段时间又会UP起来。

那么如何decode这样的输出呢?这就用到上面使用的提到的小工具.

观察log输出,开头是FFFF输出,这是标准的BGP报文格式,开头16字节的Marker字段,既然从这里开始就是BGP的报文,那就缺少我们上面所说的前6个字节必须为MAC地址了,那么我们可以用以下命令格式转换这些16进制:

text2pcap.exe -T 179,1025 -d test-bgp.txt test-bgp.pcap
产生一个随机的二层包头,以及IP字段, 如下图所示:

215301dta869jtaagqrgt5.png

到这里我们就可以查看这个decode的报文,为什么导致BGP flapping了~

评论
one-time
Level 13
Level 13
感谢楼主实力分享,谢谢!
BerryABC
Community Member
这个技巧不错
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接