Протокол очень прост и разработан поверх TCP. Мне нужно проанализировать большой файл дампа libpcap, чтобы вычислить среднее значение и стандартное отклонение времени разговора и количества пакетов за разговор.
С помощью Wireshark легко анализировать TCP-собеседования между конечными точками, но сводка включает все TCP-пакеты (множество SYN, ACK и FIN), и это искажает данные.
Есть ли другой инструмент для такого анализа? Есть ли способ ЛЕГКО расширить функциональность Wireshark?
Вы можете воспользоваться настраиваемым анализатором протоколов Argos. Это коммерческий инструмент с мощным и простым в использовании языком определения протокола XML. Кроме того, он может отслеживать трафик Ethernet и IP, как это делает Wireshark, и открывать файлы Libcap.
Не уверен, что точно понимаю, что вам нужно, но если вы хотите анализировать только пакеты с данными приложений, вы можете попросить Wireshark отображать только те пакеты с установленным флагом PSH ("push to application").
Что именно содержит этот протокол? Есть ли какой-то конкретный заголовок для собственного использования? Wireshark предоставляет множество сложных опций фильтрации, которые вы можете изучить.
Если вы хотите сделать это с помощью программы, вы можете попробовать PCAP или PF_SOCK. Возможно, вам придется написать свои собственные критерии фильтрации.
Есть ли другой инструмент для такого анализа? Есть ли способ ЛЕГКО расширить функциональность Wireshark?
Вы можете попробовать Scapy ( http://www.secdev.org/projects/scapy/ ) , с помощью Scapy очень легко добавлять новые протоколы: http://www.secdev.org/projects/scapy/doc/build_dissect.html .
Scapy не такой как Wireshark, но я думаю, что он решит вашу проблему.
