我捕获了 modbus 数据包,我想知道如何在我的列中显示我的数据,以便稍后导出为 csv 文件。我附上了我想要显示和导出的数据类型的图像
答案1
对于要添加为列的每个字段,最简单的方法是先选择该字段,比如说“功能代码”作为示例。选择它时,您会注意到 Wireshark 窗口底部的状态行将显示该字段的 Wireshark 显示过滤器,在此示例中,它将是modbus.func_code。这是了解给定字段的显示过滤器的一种方法。
现在,如果你右键单击该字段,你可以选择申请为列。该字段将作为新列添加。添加后,您可以将字段拖放到任何所需的列位置。您也可以通过主菜单添加列,但如果以这种方式添加,您必须知道 Wireshark 显示过滤器名称,以便在添加时输入它,您可以通过以下方式执行此操作:编辑 -> 首选项 -> 列 -> + -> [双击默认的新列标题并重命名,双击默认的数字类型并选择自定义,在字段下双击并输入显示过滤器,例如 modbus.func_code]。
如果您不知道显示过滤器的名称,您可以通过至少 3 种不同的方式查找:
- Wireshark显示过滤器参考页面列出了所有显示过滤器以及每个显示过滤器适用于哪些版本的 Wireshark。
- 从 Wireshark GUI:编辑 ->查看 -> 内部 -> 支持的协议 -> Modbus -> [展开]
- 您还可以使用
tshark显示它们,例如:
在 Windows 上:
tshark -G fields | findstr "modbus\."
在 *nix 上:
tshark -G fields | grep "modbus\."
您可以根据需要对任意数量的字段重复此过程。在将特定于 modbus 的字段添加到列之前,可能值得先创建一个新的“Modbus”配置文件,因此这些字段仅在您检查 modbus 数据包时显示为列。通过右键单击状态栏右下角的配置文件并选择添加新配置文件新的或者管理个人资料。您也可以通过主菜单添加新配置文件:编辑 -> 配置文件。
我tshark上面提到过;它是 Wireshark 的命令行等效版本,它允许您仅打印所需的字段,然后您可以将该输出重定向到文本文件,然后可以将其导入其他程序进行进一步处理。例如:
tshark -r file.pcap -Y "modbus" -T fields -E separator=/t -e frame.number -e modbus.func_code -e modbus.byte_cnt > file.txt
tshark有很多选项,因此请务必阅读手册页以更好地了解如何使用它。
如果您不使用tshark,则可以使用以下方法从 Wireshark GUI 导出数据:文件 -> 导出数据包剖析 -> 作为 CSV... -> [选择/取消选择所需选项,选择文件名并单击保存]。
最后,Wireshark用户指南也是一个很好的参考。