TSHARK碎片整理

Question

我想要捕获消息直径协议(通过SCTP)在屏幕上的tshark，扩展。

首先，我找不到在开关'-f‘之后写什么来过滤直径消息，但后来我发现开关'-R’，它接受' diameter‘。

所以，目前我的命令似乎是：

tshark -i el0 -R diameter -V

这一切都很好，至少，直到包足够小。

然而，对于较大的数据包，我得到错误的[Unreassembled Packet: DIAMETER] [Expert Info (Warn/Reassemble): Unreassembled Packet (Exception occurred)] [Message: Unreassembled Packet (Exception occurred)]，

并且数据包确实没有在输出中重新组装。

我在谷歌上搜索解决方案，发现下面的修改可能会完成碎片整理：

tshark -i el0 -R diameter -V -o ip.defragment:TRUE

但这没什么用。

这个问题有什么简单的解决办法吗？(事后处理碎片整理也是可以的。)

Answer 1

终于找到了！

在wireshark中，有一个复选框用于几个与协议相关的选项，特别是对于直径碎片整理，需要对复选框进行标记。

Reassemble fragmented SCTP user messages

以获得正确显示的长直径消息。

这些协议选项都有自己的tshark对应参数，在这里您必须使用

-o sctp.reassembly:TRUE。

(一般情况下，查找属于wireshark的文件preferences。)

所以，最终起作用的方法是

​

1. 首先，定期捕获所有(sctp)消息： tshark -i EL0 -f sctp -w raw_capture.pcap
2. 然后，如果完成了，则通过进一步的tshark命令处理该文件： tshark -r raw_capture.pcap -R diameter -o sctp.reassembly:TRUE -V

​