充斥着一些看起来毫无意义的商品沟通询价内容,观察发现Source列的ip不尽相同。

在网络链路中,一个数据包的发送经常会经过多个节点,那么在不同节点抓到报文后,如何确定目前查看的这个报文是否是从源端发过来,或者数据流量比较大,同时刻的报文数量很多,已经无法根据时间来确认具体的报文是哪一条时,又需要确定具体的报文情况时,就需要用到这个字段:Identification。在wireshark中,该字段被书定义为ip.id

使用tshark对ip.id进行提取:

tshark -r attachment.pcap -T fields -e  ip.id > ipid.txt

转为ascii字符。

for line in open('ipid.txt','r'):
    if len(line) > 3:
        line_fix = line[:-1]
        line_fix = int(line_fix,16)
        print(chr(line_fix),end="")

得:

@iH<,{*;oUp/im"QPl`yR*ie}NK;.D!Xu)b:J[Rj+6KKM7P@iH<,{*;oUp/im"QPl`yR

去除干扰的字符串:

@iH<,{*;oUp/im"QPl`yR*ie}NK;.D!Xu)b:J[Rj+6KKM7P