我有几个pcap文件,我可以看到wireshark中的memcache协议及其相应的数据,但是当我使用tshark批量导出数据时,它只显示一个字符(0x0b),为什么?
我使用的命令:tshark -Y“memcache包含set”-r input.pcap -T fields -e memcache.value 谢谢! 顺便说一下,memcache密钥工作正常。我不能在这里分享这些文件,因为它们是保密的。
答案 0 :(得分:2)
适合我:
$tshark -r 3006-example.cap -Y "memcache.command==set" -T fields -e memcache.value
hello, world!
noreplyset
测试文件:附加到Wireshark bug 3467
的文件我注意到0x0b不是可打印的ascii字符。 memcache剖析器假定'value'是一个ascii字符串。
如果查看捕获文件中相应数据包中的“值”字段,它是否为ascii字符串?
编辑:查看memcache protocol spec,似乎'value'字段应被视为“非结构化数据”而不视为ascii字符串。请随时在bugs.wireshark.org
提交错误报告