请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

   思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
查看: 526|回复: 2

【原创】将16进制数据包转换成pcap的文件

[复制链接]
发表于 2019-6-3 13:52:02 | 显示全部楼层 |阅读模式
这篇文章主要是为了介绍一下wireshark自带的小工具text2pcap,这个小工具可以帮助我们将16进制的文件转换为pcap文件,让我们可以直接用wireshark中打开。该工具存在wireshark安装目录下,无法直接打开,只能通过CMD运行.
  • 打开wireshark的安装目录,在安装目录下新建一个text文档,如下图所示

  • 将16进制的数据按下图格式进行整合,注意前6个字节一定要对应MAC地址,要不然转换会出错,那么如何才能让前六个字节对应MAC地址呢?这个需要对数据中的一些字段有敏感度,例如(45 00,标准的IPv4报文,该字段前14个字节就是二层包头)


  • 打开CMD命令行,进入wireshark安装的根目录,进行转换.如下
  1. <font face="CiscoSansTTRegular" size="2">Microsoft Windows [版本 10.0.17134.407]
  2. (c) 2018 Microsoft Corporation。保留所有权利。

  3. C:\Users\xuxing>D:

  4. D:\>cd D:\Wireshark

  5. D:\Wireshark>
  6. D:\Wireshark>
  7. D:\Wireshark>text2pcap.exe 12_19.txt 12_19.pcap
  8. Input from: 12_19.txt
  9. Output to: 12_19.pcap
  10. Output format: PCAP
  11. Wrote packet of 64 bytes.
  12. Read 1 potential packet, wrote 1 packet (104 bytes).

  13. D:\Wireshark></font>
复制代码
  • 再次查看wireshark安装的根目录,包含刚刚所转换的文件了




参考文档:

  1. https://www.wireshark.org/docs/man-pages/text2pcap.html
复制代码
TS case:

分享一个使用这个小工具的案例,最近遇到一个CISCO路由器和其它厂商对接BGP,频繁flapping的问题,

  1. May 15 15:03:12.189 Beijing: %BGP-6-MSGDUMP_LIMIT: unsupported or mal-formatted message received from 2222:EEEE:1111:22::43:
  2. FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF 00BD 0200 0000 A640 0101 0040 0216 0205
  3. 0000 12CB 0000 12CC 0000 1026 0000 1B1B 0000 7330 F020 0150 0000 2349 0000 0000
  4. 0000 0000 0000 2349 0000 0001 0000 04F9 0000 2349 0000 0001 0000 0C89 0000 2349
  5. 0000 0001 0000 0CF8 0000 2349 0000 0001 0000 1A44 0000 2349 0000 0001 0000 22BD
  6. 0000 2349 0000 0001 C008 0412 CB00 6590 0E00 2A00 0201 2024 0E00 E18C 0000 0200
  7. 0000 0000 0000 04FE 8000 0000 0000 00CE 1AFA FFFE E739 E000 2020 011A 30
复制代码
通过查看log,可以看到类似这样的报文出现,然后BGP报文就down,然后过段时间又会UP起来。

那么如何decode这样的输出呢?这就用到上面使用的提到的小工具.

观察log输出,开头是FFFF输出,这是标准的BGP报文格式,开头16字节的Marker字段,既然从这里开始就是BGP的报文,那就缺少我们上面所说的前6个字节必须为MAC地址了,那么我们可以用以下命令格式转换这些16进制:

  1. text2pcap.exe -T 179,1025 -d test-bgp.txt test-bgp.pcap
复制代码
产生一个随机的二层包头,以及IP字段, 如下图所示:




到这里我们就可以查看这个decode的报文,为什么导致BGP flapping了~




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-6-3 19:25:13 | 显示全部楼层
感谢楼主实力分享,谢谢!
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-6-23 12:13:14 | 显示全部楼层
这个技巧不错
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2019-8-19 04:15 , Processed in 0.092303 second(s), 40 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表