#networking #memcached #wireshark #tshark
#сеть #memcached #wireshark #tshark
Вопрос:
У меня есть несколько файлов pcap, я вижу протокол memcache в wireshark и соответствующие ему данные, но когда я использую tshark для пакетного экспорта данных, он показывает только один символ (0x0b), почему?
команда, которую я использую: tshark -Y «memcache содержит набор» -r input.pcap -T полей -e memcache.value Спасибо! Кстати, ключ memcache работает нормально. И я не могу поделиться файлами здесь, поскольку они конфиденциальны.
Ответ №1:
Работает для меня:
$tshark -r 3006-example.cap -Y "memcache.command==set" -T fields -e memcache.value
hello, world!
noreplyset
Тестовый файл: прикрепленный к ошибке Wireshark 3467
Я отмечаю, что 0x0b не является печатным символом ascii. Разделитель memcache предполагает, что «значение» является строкой ascii.
Если вы посмотрите на поле «значение» в соответствующем пакете в вашем файле захвата, является ли это строкой ascii?
редактировать: глядя на спецификацию протокола memcache, кажется, что поле «значение» следует рассматривать как «неструктурированные данные», а не как строку ascii. Пожалуйста, не стесняйтесь отправлять сообщение об ошибке по адресу bugs.wireshark.org
Комментарии:
1. Спасибо, вы правы! Значение представляет собой двоичные данные, есть ли у вас какие-либо предположения, что я могу извлечь эту полезную нагрузку? @willyo
2. Ничего не приходит на ум …. (если не считать исправления ошибки, либо исправив ее самостоятельно, либо отправив отчет об ошибке :). 🙂