1. дома
  2. Вопрос и ответ
  3. Android Shark (tcpdump) создает недопустимый pcap

Android Shark (tcpdump) создает недопустимый pcap

2015-08-13 3 views
1

Я для некоторых целей запускаю Shark, инструмент tcpdump для Android. Я запускаю это на двух устройствах Android, захватываю файлы захвата, а затем намереваюсь запускать некоторые статистические данные. Один планшет и один телефон. Они запускают Android 4.2.2 и 4.3 соответственно. Захват для обоих устройств выполняется с флагами -vv -s 0. Я, конечно, попытался переустановить.Android Shark (tcpdump) создает недопустимый pcap

Глядя на данные в Wireshark, данные с телефона в порядке, но данные из планшета не будут считаться правильно (не будут идентифицировать какие-либо протоколы или что-то еще.).

Я попытался использовать pcapfix в файле, но pcapfix говорит, что файл в порядке. Но я не могу прочитать его в scapy, dpkt (библиотеки python для чтения сетевого трафика, просто бросает каждый пакет в «другое», считая «Raw») или wirehark.

Кто-нибудь знает, что я делаю неправильно, или как исправить файл?

Capture file for phone (working)
capture file for tablet (broken)

данных от мобильного трафика (без WiFi). Телефон находится на LTE/WCDMA/GSM, а планшет находится на WCDMA/GSM. Я попытаюсь посмотреть, не вызывает ли это этого, но не будет до завтра.

источник

2015-08-13 Stiffo

ответ

2

Цитирую совершить комментарий в Libpcap для моей попытки обойти этот конкретный **** вверх:

For various annoying reasons having to do with DHCP software, some 
versions of Android give the mobile-phone-network interface an ARPHRD_ 
value of ARPHRD_ETHER, even though the packet supplied by that interface 
have no link-layer header, and begin with an IP header, so that the 
ARPHRD_ value should be ARPHRD_NONE.

Это означает, что файлы PCAP для этих захватах имеют неправильную канального уровня типа заголовка ,

Если у вас есть Wireshark, у вас есть editcap; сделать

editcap -T rawip -F pcap shark_dump_tablet.pcap shark_dump_tablet_fixed.pcap

Это будет читать все пакеты из shark_dump_tablet.pcap и записать их в новый файл PCAP по имени shark_dump_tablet_fixed.pcap, но с типом заголовка канального уровня «Raw IP», а не «Ethernet», в файл. Вы должны иметь возможность прочитать полученный файл.

источник

2015-08-13 19:16:52

+0

О, это потрясающе. Спасибо! – Stiffo

Смежные вопросы

 Смежные вопросы