用于自定义协议的网络流量分析的工具

Question

该协议非常简单，并且是在TCP的基础上开发的。我需要分析一个大的libpcap转储文件，以计算会话时间和每个会话的数据包数量的平均值和标准差。

使用Wireshark可以很容易地分析端点之间的TCP会话，但摘要包括所有TCP数据包(大量的SYN、ACK和FIN)，这会弄乱数据。

有没有其他工具可以做这种分析？有没有办法轻松扩展Wireshark的功能？

Answer 1

您可以查看Argos custom protocol analyzer。它是一个商业工具，它有一个强大且易于使用的XML协议定义语言。此外，它还可以像Wireshark一样监控以太网和IP流量，并打开Libcap文件

Answer 2

我不确定我确切地理解您需要什么，但是如果您只想分析其中包含应用程序数据的数据包，您可以要求Wireshark仅显示那些设置了PSH (“推送到应用程序”)标志的数据包。

Answer 3

这个协议到底包含什么内容？有没有特定的头部供它自己使用？Wireshark提供了许多您可以探索的复杂过滤选项。

如果您想使用program，您可以尝试使用PCAP或PF_SOCK。然后，您可能需要编写自己的过滤条件。