Как извлечь данные из файла pcap

Question

У меня есть несколько файлов pcap, я могу видеть протокол memcache в wirehark и его соответствующих данных, но когда я использую tshark для пакетного экспорта данных, он отображает только один символ (0x0b), почему ?

команда, которую я использую: tshark -Y "memcache содержит набор" -r input.pcap -T fields -e memcache.value Спасибо! BTW, ключ memcache работает нормально. И я не могу делиться файлами здесь, поскольку они являются конфиденциальными.

Answer 1

работает для меня:

$tshark -r 3006-example.cap -Y "memcache.command==set" -T fields -e memcache.value 
hello, world! 
noreplyset 

Тестовый файл: что прилагается к Wireshark bug 3467

Я не отметить, что 0x0B не для печати символов ASCII. Диссектор memcache предполагает, что «значение» является строкой ascii.

Если вы посмотрите на поле «значение» в соответствующем пакете в вашем файле захвата, это строка ascii?

редактировать: глядя на memcache protocol spec, оказывается, что поле «значение» должно рассматриваться как «неструктурированные данные» и не как строки ASCII. Просим сообщать об ошибке по адресу bugs.wireshark.org