Wireshark tcap dissector внутри моей программы

Question

Я работаю над проектом SS7 и достиг точки, в которой мне нужно создать диссидент/парсер tcap. Поэтому мне было интересно использовать файлы проводов в моем источнике.

Возможно ли это? Если да? как мне это сделать? есть ли учебник?

Answer 1

http://www.tcpdump.org/ имеет всю необходимую информацию.

Вы должны будете использовать libpcap, как описано здесь: http://www.tcpdump.org/pcap3_man.html

pcap_open_offline Я думаю, это хорошее начало, вы можете использовать функции, связанные, чтобы получить структурированные данные, содержащиеся в файле дампа. Используя ту же библиотеку, вы также можете захватывать непосредственно из своего приложения.

Относительно примечания, wirehark и tshark позволяют экспортировать файл pcap в xml, вы также можете использовать этот формат вместо двоичного pcap, если хотите.

Answer 2

Как и большинство приложений, это возможно. Однако может ли быть более правильным вопрос о том, что вы можете использовать в исходном коде Wireshark?

Некоторые недостатки использования Wireshark являются:

• это общий инструмент, специально построенное для всех протоколов. Все внедренные протокольные диссекторы подключаются к общей структуре. Поэтому, если вы хотите повторно использовать только определенный протокол, вам нужно каким-то образом реализовать или пропустить код рамки.
• предназначен только для анализа и описания компонентов протокола. Он не имеет функций кодирования.
• Лицензия разрешена с использованием копии левой лицензии GPL. Это означает, что любое программное обеспечение, которое вы создаете из Wireshark, также должно быть лицензировано таким образом.

Сказав, что для получения исходной точки может быть неоценимым лишь просмотр исходного кода. Основной исходный файл tcap-рассекания находится в epan/dissectors/packet-tcap.c. Wireshark использует декомпилятор ASN.1 для анализа сообщения TCAP. Файл определения, который он использует, можно найти в asn1/tcap/tcap.asn.