使用 TShark 将加密的 SNMPv3 陷阱导出到 JSON

Question

我有一个 pcap 文件，其中记录了来自 Wireshark（版本 3.2.2）的加密 SNMPv3 陷阱。为了分析陷阱，我想使用 tshark 将协议数据导出到 json。

tshark.exe -T ek -Y "snmp" -P -V -x -r input.pcap > output.json

目前，我通过 C:\Users\developer\AppData\Roaming\Wireshark 中的“snmp_users”文件提供解密包的信息。

# This file is automatically generated, DO NOT MODIFY.
,"snmp_user","SHA1","xxxxxx","AES","yyyyyyy"

是否可以通过命令行提供选项？

我试过了：

tshark.exe -T ek -Y "snmp" -P -V -x -o "snmp.users_table.username:snmp_user" ...

但这会导致错误：

tshark: -o flag "snmp.users_table.username:snmp_user" specifies unknown preference

2020 年 9 月 16 日更新：
使用选项 -Y 代替 -J：

-Y|--display-filter
导致指定的过滤器（它使用读取/显示的语法 过滤器，而不是捕获过滤器的过滤器） 打印解码形式的数据包或将数据包写入文件。

Answer 1

您需要将选项指定为用户访问表或uat，具体表为文件名，即snmp_users。所以，例如：

在 Windows 上：

tshark.exe -o "uat:snmp_users:\"\",\"snmp_user\",\"SHA1\",\"xxxxxx\",\"AES\",\"yyyyyyy\"" -T ek -J "snmp" -P -V -x -r input.pcap > output.json

在 *nix 上：

tshark -o 'uat:snmp_users:"","snmp_user","SHA1","xxxxxx","AES","yyyyyyy"' -T ek -J "snmp" -P -V -x -r input.pcap > output.json

不幸的是，Wireshark 文档目前缺少描述uat 选项。不过，有一个 Google Summer of Code 项目正在进行中，Wireshark 正在参与其中，所以这里的文档可能会得到改进。