IT课程

 新网工在YESLAB   

IT技术专业学习平台
IT人才专业服务提供商

 

VUE考试注册预约电话:010-82608710

全国热线:400-004-8626

【路由交换】将16进制数据包转换成pcap的文件

首页    思科专题    【路由交换】将16进制数据包转换成pcap的文件

这篇文章主要是为了介绍一下wireshark自带的小工具text2pcap,这个小工具可以帮助我们将16进制的文件转换为pcap文件,让我们可以直接用wireshark中打开。该工具存在wireshark安装目录下,无法直接打开,只能通过CMD运行.
打开wireshark的安装目录,在安装目录下新建一个text文档,如下图所示
wireshark自带的小工具text2pcap

将16进制的数据按下图格式进行整合,注意前6个字节一定要对应MAC地址,要不然转换会出错,那么如何才能让前六个字节对应MAC地址呢?这个需要对数据中的一些字段有敏感度,例如(45 00,标准的IPv4报文,该字段前14个字节就是二层包头)
将16进制的数据按此图格式进行整合


打开CMD命令行,进入wireshark安装的根目录,进行转换.如下
<font face="CiscoSansTTRegular" size="2">Microsoft Windows [版本 10.0.17134.407]
(c) 2018 Microsoft Corporation。保留所有权利。

C:\Users\xuxing>D:

D:\>cd D:\Wireshark

D:\Wireshark>
D:\Wireshark>
D:\Wireshark>text2pcap.exe 12_19.txt 12_19.pcap
Input from: 12_19.txt
Output to: 12_19.pcap
Output format: PCAP
Wrote packet of 64 bytes.
Read 1 potential packet, wrote 1 packet (104 bytes).

D:\Wireshark></font>

再次查看wireshark安装的根目录,包含刚刚所转换的文件了

再次查看wireshark安装的根目录

参考文档:

https://www.wireshark.org/docs/man-pages/text2pcap.html

TS case:

分享一个使用这个小工具的案例,最近遇到一个CISCO路由器和其它厂商对接BGP,频繁flapping的问题,

May 15 15:03:12.189 Beijing: %BGP-6-MSGDUMP_LIMIT: unsupported or mal-formatted message received from 2222:EEEE:1111:22::43:
FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF 00BD 0200 0000 A640 0101 0040 0216 0205
0000 12CB 0000 12CC 0000 1026 0000 1B1B 0000 7330 F020 0150 0000 2349 0000 0000
0000 0000 0000 2349 0000 0001 0000 04F9 0000 2349 0000 0001 0000 0C89 0000 2349
0000 0001 0000 0CF8 0000 2349 0000 0001 0000 1A44 0000 2349 0000 0001 0000 22BD
0000 2349 0000 0001 C008 0412 CB00 6590 0E00 2A00 0201 2024 0E00 E18C 0000 0200
0000 0000 0000 04FE 8000 0000 0000 00CE 1AFA FFFE E739 E000 2020 011A 30

通过查看log,可以看到类似这样的报文出现,然后BGP报文就down,然后过段时间又会UP起来。

那么如何decode这样的输出呢?这就用到上面使用的提到的小工具.

观察log输出,开头是FFFF输出,这是标准的BGP报文格式,开头16字节的Marker字段,既然从这里开始就是BGP的报文,那就缺少我们上面所说的前6个字节必须为MAC地址了,那么我们可以用以下命令格式转换这些16进制:

text2pcap.exe -T 179,1025 -d test-bgp.txt test-bgp.pcap

产生一个随机的二层包头,以及IP字段, 如下图所示:

产生一个随机的二层包头

到这里我们就可以查看这个decode的报文,为什么导致BGP flapping了

2019年7月12日 14:21
浏览量:0
收藏