Wireshark - 프로그래밍 방식으로 pcap 파일에서 패킷을 수정합니다.

Question

GTPV2, S1AP, Diameter 등등과 같은 다양한 프로토콜을 사용하는 pcap 파일에 일련의 패킷이 있습니다. 프로그램 적으로 일부 필드를 수정하는 방법이 있는지 알아야합니다. 예 : MCC 필드 - 모바일 국가 코드, MNC 필드 - S1AP 프로토콜 모바일 네트워크 코드 : 다음 GTPV2 프로토콜에 대한

Protocolie-필드 등 등은

은 내가 proto_tree을 얻고 tvbuff 내용을 수정 관리 특히 내가 관심있는 버퍼의 오프셋을 처리함으로써, 다음과 같이 말할 수있다 :

e212.mcc = "something" 

여기서 e212.mccc는 Wireshark 필터입니까? 나는 이것이 어떤 언어로든 할 수 있는지 묻고 있는데, 내 생각에 해부학자가 표시하고 수정하지 않고 Wireshark 필터를 통해 패킷 필드에 직접 액세스하는 API를 가지고 있지 않다. 만약 그렇다면, 어떤 규칙에 따라 pcap 파일에서 패킷을 수정할 수있는 opensource 도구에 대해 알고 있습니까 (Wireshark 필터 포함/선호).

Answer 1

질문을 정확하게 이해하지 못했지만, 맞다면 sed이 문제가 없습니다. 정규식을 사용하면 파일을 서핑하고 특정 패턴 (또는 오프셋)을 선택하여 대체 할 수 있습니다. 제 3 자에게 넘겨줘야 할 파일에 기밀 정보를 봉인해야 할 때 나는이 기술을 직접 pcap 파일에 사용합니다.

체크 here 한 번 진수의 모든 패킷이를 어디에 다음 배열에 텍스트 파일을 구축, 와이어 샤크와 텍스트로 캡쳐 파일을 내보내 그것을 시도 :

Answer 2

나는 펄이 같은 짓을 줄 항목을 만든 다음 해당 배열을 foreach 루프로 실행하여 GTP 계층을 드릴 다운하고 IE 필드를 구문 분석하여 필요에 따라 IE의 16 진 값을 조정합니다. 그런 다음 새로운 텍스트 파일에 배열을 인쇄했습니다 (왼쪽의 16 진 오프셋을 다시 생성하는 것이 까다로운 부분이었습니다). 그런 다음 새 텍스트 파일을 text2pcap 유틸리티로 읽어서 .pcap 파일로 다시 생성합니다.