介绍
本文档基于wireshark-2.6.10/编写
tshark为wireshark工具的命令行版本呢, 在服务器版本服务器上,通过tshark工具可以实现和wireshark相同的功能。工具使用wireshark默认配置,对于wireshark一些常用的首选项,也可通过tshark -o [key:value]修改。(可以通过tshark -G currentprefs查看可操作的首选项)
比如esp的协议参数
进程结构
tshark启动后会创建一个子进程dumpcap
dumpcap子进程负责数据包捕获并将数据包写入文件,tshark进程负责将文件中的数据包读取后并解密打印到终端。
描述符
tshark进程拥有的描述符
- 描述符3的作用,dumpcap进程通知tshark进程新收到数据包数量(其他信息,数据包文件名)。
- 描述符4的作用,dumpcap进程向文件写入数据,tshark进程读取数据。读取数据长度取决于3描述符的长度计算的偏移量
描述符创建位置
| 3 | real_main | Capture:2500 | sync_pipe_start | Pipe | 包长度,数量偏移,一些命令,包括pcap文件名称 |
| 4 | real_main | Capture:2551 | sync_pipe_input_cb | capture_input_new_file | 根据管道返回的文件创建文件的描述符 |
协议注册在源码中的位置
源码编译过程,在build/epan/dissectors/dissectors.c文件下存在所有协议的注册接口数组
,在这里会调用ipsec协议的注册接口
通过epan_init->proto_init->register_all_protocols进行协议注册。
register_all_protocols这个接口会启动一个线程register_all_protocols_worker。
Dissector_reg_proto_count是协议的数量,dissector_reg_proto[i].cb_func执行协议的注册接口,这里会调用到ipsec的注册接口proto_register_ipsec。
proto_register_ipsec接口内存在关于esp协议的首选项信息注册,包括参数名称,文件名称等
指定esp秘钥参数,这里也对应着wirethark esp GUI界面的参数值。
指定esp_sa文件名称。
Tshark ESP秘钥信息存在哪里
在编译环境中,文件存在于用户家目录 vim ~/.config/wireshark/esp_sa
下面对应首选项内容为
| "IPv4","183.207.104.236","192.168.137.107","0xccca9b36","AES-CBC [RFC3602]","0x6217A226D5379188810542C88932EA47","HMAC-SHA-1-96 [RFC2404]","0x9ABCDA21D1D99F968960BE0A3CF4CABDAF081585" "IPv4","192.168.137.107","183.207.104.236","0xcfc5fad8","AES-CBC [RFC3602]","0xB3AA55BE60DD0B104E8EE8B67B85BA65","HMAC-SHA-1-96 [RFC2404]","0xEBCA268CAA1D38639D58CEBF5D57C73167D425DB" |
文件的样子
看到这里,得出了密钥文件可以通过文件写入的方式添加
