четверг, 30 мая 2013 г.

tshark and port 3333

Офигенный прикол - если дампить трафик tshark с параметрами
tshark -l -i p33p1 -f 'port 3333' -T fields -e frame.date -e frame.time -e ip.src -e ip.dst -e tcp.srcport -e tcp.len -e data
то акула не покажет содержимое пакета дальше tcp хедера.
Оказалось, что она резолвит порт 3333 в протокол ENTTEC и выводит содержимое пакета только при указании полей  enttec.

Решается путём запрета резолва протокола enttec в конфиг файлике )
Походу, справедливо для всех известных протоколов

Комментариев нет: