示例抓包 ​

示例抓包（Sample Captures）是用于学习、复现问题和测试协议解析的公开抓包文件集合。

如果你刚安装 Wireshark，但手边没有合适的网络流量，可以从这里选择样例文件练习过滤器、统计功能、协议解析和故障分析。

如何使用本页

先看哪些分类

本页保留了 Wireshark Wiki 原始样例条目，数量很多。建议按任务选择，而不是从头读到尾：

• 通用 / 未分类：适合练习基础解析。
• 病毒和蠕虫：适合安全分析和异常流量识别。
• ARP/RARP、TCP、HTTP、DNS、SIP/RTP：适合网络分析入门。
• SMB、Kerberos、LDAP、DCE/RPC：适合 Windows / 企业网络分析。
• Wi-Fi / Wireless LAN、Bluetooth、USB：适合链路层和设备侧分析。
• SSL、SSH、DTLS with decryption keys：适合学习解密和密钥配置。

注意事项

• 样例文件可能来自真实问题、测试用例或恶意流量分析，请在合适的隔离环境中打开。
• 带 .gz 扩展名的文件需要解压；如果 Wireshark 构建不支持 zlib，必须先用 gunzip 解压。
• 样例文件的协议解析效果可能受 Wireshark 版本影响。
• 本页是历史样例集合，具体事实和最新可用性以原始 Wireshark Wiki 页面和附件为准。

如何添加新的捕获文件

如果你想加入一个新的示例捕获文件，应将它作为附件添加到此页面（点击上方格式栏中的 “Attach a file or image”）。在对应文字中，你可以说明这个文件在做什么，以及它解释了哪些协议、机制或事件。也欢迎从这里链接到相关协议页面。

在相关协议页面上添加指向你的文件的链接也是一个非常好的做法。从另一个 Wiki 页面引用此页面上的附件时，需要复制该文件的链接。示例请参见 NTP 页面。

捕获文件的其他来源

如果你没有找到想要的内容，也可以尝试：

• https://www.google.com/
• http://www.icir.org/enterprise-tracing/download.html（来自企业流量的数据包 header 未分类捕获 - 使用 .anon 文件）
• https://www.netresec.com/?page=PcapFiles（可下载 pcap 文件位置的优秀列表）
• 来自恶意软件分析的 Pcap 文件集合
• 带附件的 Wireshark issue，可用于复现 bug 或测试修复。
• Malware of the Day 实验室中恶意软件样本的网络流量。
• Malware-Traffic-Analysis.net 分享恶意网络流量和恶意软件样本的信息。pcap 文件和恶意软件样本的来源……
• https://tshark.dev/search/pcaptable/ 用于搜索 Wireshark、Wireshark bug 和 PacketLife 上捕获文件的搜索引擎

通用 / 未分类

• rpl-dio-mc-nsa-optional-tlv-dissector-sample.pcap.gzlibpcap · ICMPv6 IPv6 Routing Protocol for Low-Power and Lossy Networks (RPL) DODAG Information Object (DIO) control messages，其中 Metric Container (MC) 内的 Node State and Attributes (NSA) object 带有可选 type-length-value (TLV)。
• ipv4frags.pcaplibpcap · ICMP Echo request (1400B) response with Fragments（一侧 MTU=1000）。
• tfp_capture.pcapnglibpcap · 通过 TCP/IP 和 USB 捕获的 Tinkerforge protocol。
• Obsolete_Packets.caplibpcap · 包含多种晦涩/不再常用的协议，包括 Banyan VINES、AppleTalk 和 DECnet。
• Apple_IP-over-IEEE_1394_Packet.pcaplibpcap · 一个封装在 Apple IP-over-1394 (ap1394) protocol 中的 ICMP packet
• SkypeIRC.caplibpcap · 一些 Skype、IRC 和 DNS 流量。
• ipp.pcaplibpcap · 通过 IPP 进行 CUPS 打印（测试页）
• IrDA_Traffic.ntarpcapng · 各种 IrDA packet，使用 Wireshark 1.3.0（SVN revision 28866 或更高版本）查看
• 9p.caplibpcap · Plan 9 9P protocol，各种 message type。
• EmergeSync.caplibpcap · rsync packet，包含 Gentoo 系统上 “emerge sync” 操作的结果
• afs.cap.gzlibpcap · Andrew File System，基于 RX protocol。各种操作。
• ancp.pcap.gzlibpcap · Access Node Control Protocol (ANCP)。
• ascend.trace.gzAscend WAN router · 展示 Wireshark 如何解析特殊 Ascend data
• atm_capture1.caplibpcap · ATM Classical IP packet 的 trace。
• bacnet-arcnet-linux.caplibpcap · 一些封装在 ARCnet framing 中的 BACnet packet
• bfd-raw-auth-simple.pcaplibpcap · 使用 simple password authentication 的 BFD packet。
• bfd-raw-auth-md5.pcaplibpcap · 使用 md5 authentication 的 BFD packet。
• bfd-raw-auth-sha1.pcaplibpcap · 使用 SHA1 authentication 的 BFD packet。
• BT_USB_LinCooked_Eth_80211_RT.ntar.gzpcapng · pcapng 文件中的 Bluetooth、Linux mmapped USB、Linux Cooked、Ethernet、IEEE 802.11 和 IEEE 802.11 RadioTap packet 选集，用于展示该文件格式的能力以及 Wireshark 对它的支持。目前，Wireshark 不支持带有多个 Section Header Block 的文件，而此文件正是如此，因此无法读取。此外，文件中的第一个 packet 是一个 Bluetooth packet，已损坏——它声称是带有 Bluetooth pseudo-header 的 packet，但只包含 3 字节数据，这对于 Bluetooth pseudo-header 来说太小。
• bootparams.cap.gzlibpcap · 两个 rpc.bootparamsd “getfile” 和 “whoami” request。
• chargen-udp.pcaplibpcap · UDP 上的 Chargen。
• chargen-tcp.pcaplibpcap · TCP 上的 Chargen。
• cmp_IR_sequence_OpenSSL-Cryptlib.pcaplibpcap · 封装在 HTTP 中的 Certificate Management Protocol (CMP) version 2。完整 “Initialization Request”。

cmp_IR_sequence_ OpenSSL-EJBCA.pcap(libpcap) 封装在 HTTP 中的 Certificate Management Protocol (CMP) version 2。完整 “Initialization Request”。使用 CRMF regToken 进行 authentication。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

• cmp-trace.pcap.gzlibpcap · Certificate Management Protocol (CMP) certificate request。
• cmp-in-http-with-errors-in-cmp-protocol.pcap.gzlibpcap · 封装在 HTTP 中的 Certificate Management Protocol (CMP) version 2。完整 “Initialization Request” 和被拒绝的 “Key Update Request”。CMP package 中有一些错误。
• cmp_in_http_with_pkixcmp-poll_content_type.pcap.gzlibpcap · 封装在 HTTP 中的 Certificate Management Protocol (CMP) version 2。CMP message 使用已弃用但仍在使用的 content-type “pkixcmp-poll”，因此它们采用 TCP transport style。在四个 CMP message 中有两个没有显式设置 content type，因此无法被正确解析。
• cigi2.pcap.gzlibpcap · Common Image Generator Interface (CIGI) version 2 packet。
• cigi3.pcap.gzlibpcap · Common Image Generator Interface (CIGI) version 3 packet。
• cisco-nexus92-erspan-marker.pcap从运行 NXOS 9.2 的 Cisco Nexus switch 发送的 marker packet，带有非零 ASIC 相对时间戳和对应的 UTC 绝对时间戳。
• cisco-nexus10-erspan-marker.pcap从运行 NXOS 10 的 Cisco Nexus switch 发送的 marker packet，带有零 ASIC 相对时间戳和对应的 UTC 绝对时间戳。
• ciscowl.pcap.gzlibpcap · Cisco Wireless LAN Context Control Protocol (WLCCP) version 0x0
• ciscowl_version_0xc1.pcap.gzlibpcap · Cisco Wireless LAN Context Control Protocol (WLCCP) version 0xc1。包含以下 base message type：SCM Advertisements、EAP Auth.、Path Init、Registration
• configuration_test_protocol_aka_loop.pcaplibpcap · 带有 “third party assist” 的 Ethernet loopback 示例
• cops-pr.cap.gzlibpcap · COPS 流量样本。
• couchbase_subdoc_multi.pcaplibpcap · 一个 Couchbase binary protocol 文件样本，包含 sub-document multipath request/response。
• couchbase-create-bucket.pcapnglibpcap · 一个 Couchbase binary protocol 文件样本，包含 create_bucket command。
• couchbase-lww.pcaplibpcap · 一个 Couchbase binary protocol 文件样本，包含带 last write wins 支持的 set_with_meta、del_with_meta 和 get_meta command。
• couchbase-xattr.pcapnglibpcap · Couchbase binary protocol 中 XATTR feature 的样本捕获。
• dct2000_test.outdct2000 · 一个 DCT2000 文件样本，包含大多数受支持 link type 的示例
• dhcp.pcaplibpcap · DHCP 流量样本。
• dhcp-and-dyndns.pcap.gzlibpcap · 主机先执行 dhcp 再执行 dyndns 的会话样本。
• dhcp-auth.pcap.gzlibpcap · 带 dhcp authentication information 的 packet 样本。
• PRIV_bootp-both_overload.pcaplibpcap · sname 和 file field 被 overloaded 的 DHCP packet。
• PRIV_bootp-both_overload_empty-no_end.pcaplibpcap · overloaded field 且所有 end option 缺失的 DHCP packet。
• dccp_trace.pcap.gzlibpcap · DCCP packet type 的 trace。
• dns.caplibpcap · 各种 DNS lookup。
• dualhome.iptraceAIX iptrace · 展示同一文件中捕获的 Ethernet 和 Token Ring packet。
• dvmrp-conv.cap展示 Distance Vector Multicast Routing Protocol packet。
• eapol-mka.pcaplibpcap · EAPoL-MKA (MKA, IEEE 802.1X) 流量。
• epmd.pcap两个 Erlang Port Mapper Daemon (EPMD) message。
• Ethernet_Pause_Frame.capEthernet Pause Frame packet。
• exablaze_trailer.pcaplibpcap · 带 Exablaze timestamp trailer 的样本捕获。
• exec-sample.pcapexec (rexec) protocol
• fw1_mon2018.capSolaris snoop · CheckPoint FW-1 fw monitor 文件（包含新的 Encryption check point）。在 Ethernet protocol interpretation 中启用 FW-1 interpretation
• genbroad.snoopSolaris snoop · 以太网网络上的 Netware、Appletalk 和其他 broadcast。
• Mixed1.capMS NetMon · 一些各种各样的混合 packet。
• small-system-misc-ping.etlMS ETL · 各种事件、ping 和 browser packet。
• gryphon.caplibpcap · Gryphon packet 的 trace。用于测试 Gryphon plug-in。
• hart_ip.pcaplibpcap · 一些 HART-IP packet，包括一个 UDP 和 TCP session。
• hsrp.pcaplibpcap · 一些 Cisco HSRP packet，包括一些 Opcode 3 (Advertise)。

hsrp-and-ospf-in-LAN (libpcap)link up/down/up 期间发送的 HSRP state change 和 OSPF LSA。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

• ieee802154-association-data.pcap.gzlibpcap · 一个设备关联到 coordinator，并传输一些 data frame。
• ipv4_cipso_option.pcaplibpcap · 若干带 CIPSO option 的 IP packet。
• imap.caplibpcap · 使用 Mutt 连接 MSX server 的短 IMAP session。
• RawPacketIPv6Tunnel-UK6x.caplibpcap · - 一些从 Linux 上 “sit1” interface 捕获的 IPv6 packet。IPv6 packet 通过英国的 UK6x 网络承载，但特殊之处在于它的 Link-Layer type 是 “Raw packet data”——这并不常见。
• iseries.capIBM iSeries communications trace · 两个 AS/400 LPAR 之间的 FTP 和 Telnet 流量。
• FTPv6-1.capMicrosoft Network Monitor · FTP packet (IPv6)
• FTPv6-2.capMicrosoft Network Monitor · 更多 FTP packet (IPv6)
• gearman.pcapGearman Protocol packet
• isl-2-dot1q.caplibpcap · 同时包含 ISL 和 802.1q-tagged Ethernet frame 的 trace。Frame 1 到 381 表示使用 Cisco 的 ISL 封装的流量，frame 382-745 显示同一 switch 重新配置为支持 802.1Q trunking 后发送的流量。

kafka-testcases-v4.tar.gz (libpcap) Apache Kafka dissector testcase（由这些 script 生成）。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

• lacp1.pcap.gzlibpcap · Link Aggregation Control Protocol (LACP, IEEE 802.3ad) 流量。
• linx-setup-pingpong-shutdown.pcaplibpcap · 在两台 host 上连续 setup LINX、交换 packet 并 shutdown。
• llrp.capEPCglobal Low-Level Reader Protocol (LLRP)
• llt-sample.pcapVeritas Low Latency Transport (LLT) frame
• lustre-lnet_sample.cap.gzlibpcap · Lustre Filesystem，底层为 Lustre Fileystem Network (tcp)
• macsec_cisco_trunk.pcaplibpcap · MACsec/802.1AE session，manual key，3750X switch-to-switch (Trustsec) 被强制通过半双工 10M hub connection，可看到 Cisco VTP、RSTP (RPVST+)、CDP、EIGRP 等的 destination mac address。
• messenger.pcaplibpcap · 几个 messenger 示例 packet。
• metamako_trailer.pcaplibpcap · Metamako timestamp trailer format。
• mms.pcap.gzlibpcap · Manufacturing Message Specification 流量。
• SITA-Protocols.caplibpcap · 一些 SITA WAN（Societe Internationale de Telecommunications Aeronautiques）样本 packet（包含 X.25、International Passenger Airline Reservation System、Unisys Transmittal System 和 Frame Relay packet）
• msnms.pcaplibpcap · MSN Messenger packet。

MSN_CAP.xlsx(xlsx) xlsx 格式的 MSN Messenger packet。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

• monotone-netsync.cap.gzlibpcap · monotone source checkout 的一些片段（完整 trace gzip 后 > 100MB）。
• mpeg2_mp2t_with_cc_drop01.pcaplibpcap · MPEG2 (RFC 2250) Transport Stream 示例，带一个丢失的 CC packet（使用 tcpurify 匿名化）。
• mpls-basic.caplibpcap · Ethernet 上 MPLS-encapsulated IP packet 的基本 sniff。
• mpls-exp.caplibpcap · 设置了 EXP bit 的 IP packet。
• mpls-te.caplibpcap · MPLS Traffic Engineering sniff。包含带 MPLS/TE extension 的 RSVP message，以及带 MPLS LSA 的 OSPF link update。
• mpls-twolevel.caplibpcap · 一个带 two-level tagging 的 IP packet。
• netbench_1.caplibpcap · 合理数量 NetBench 流量的捕获。用于查看 NetBench 运行产生的一些流量。

NMap Captures.zip(libpcap) 各种 NMap port scan 技术的一些捕获。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

• OptoMMP.pcap一些 OptoMMP read/write quadlet/block request/response packet 的捕获。OptoMMP documentation。
• pana.caplibpcap · PANA authentication session（pre-draft-15a，因此需要 Wireshark 0.99.5 或更早版本才能正确查看）。
• pana-draft18.caplibpcap · PANA authentication session（draft-18，因此需要 Wireshark 0.99.7 或更高版本才能正确查看）。
• pana-rfc5191.caplibpcap · PANA authentication 和 re-authentication sequence。
• pim-reg.caplibpcap · Protocol Independent Multicast，IPv6 tunneled within IPv6
• ptpv2.pcaplibpcap · 各种 Precision Time Protocol (IEEE 1588) version 2 packet。
• ptpv2_anon.pcapng使用 TraceWrangler 修改 ptpv2.pcap，使其使用非标准端口 (42319,42320)

Public_nic (libpcap)一批 SSDP (Universal Plug and Play protocol) announcement。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

• rpl_sample.cap.gzlibpcap · 一个 RIPL 样本捕获。

rtp_example.raw.gz (libpcap) 一个 H323 call 的 VoIP 样本捕获（包括 H225、H245、RTP 和 RTCP）。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

• RTP_L16_monaural_sample.pcapnglibpcap · 一个 L16 monaural (44100Hz) RTP stream 样本
• rtps_cooked.pcapnglibpcap · 手动生成的 RTPS 流量，覆盖一系列 submessage 和 parameter。
• rsvp-PATH-RESV.pcaplibpcap · 一个带 PATH 和 RESV message 的 RSVS 捕获样本。
• sbus.pcaplibpcap · 一个 EtherSBus (sbus) 样本捕获，展示 programming tool (PG5) 和 PCD (Process Control Device，即 PLC；Programmable Logic Controller) 之间的一些流量。
• Ether-S-IO_traffic_01.pcap.gzlibpcap · 一个 EtherSIO (esio) 样本捕获，展示 Saia-Burgess Controls AG 的 PLC 与一些 remote I/O station（称为 PCD3.T665 的设备）之间的一些流量。
• simulcrypt.pcaplibpcap · 一个 SIMULCRYPT 样本捕获，SIMULCRYPT over TCP，端口 8600、8601 和 8602。
• TeamSpeak2.pcaplibpcap · 一个 TeamSpeak2 捕获
• tipc-publication-payload-withdrawal.pcaplibpcap · TIPC port name publication、payload message 和 port name withdrawal。
• tipc-bundler-messages.pcaplibpcap · TIPCv2 Bundler Messages
• tipc_v2_fragmenter_messages.pcap.gzlibpcap · TIPCv2 Fragmenter Messages
• TIPC-over-TCP_disc-publ-inventory_sim-withd.pcap.gzlibpcap · TIPC demo package 的 inventory simulation 生成的 TIPCv2 over TCP（端口 666）流量。
• TIPC-over-TCP_MTU-discovery.pcap.gzlibpcap · TIPCv2 over TCP（端口 666）- 带 filler byte 用于 MTU discovery 的 Link State message。

toshiba.general.gz(Toshiba) 只是 Toshiba ISDN router 的一些普通使用情况。此 trace 中有三种 link type：PPP、Ethernet 和 LAPD。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

• uma_ho_req_bug.caplibpcap · 一个 “UMA URR HANDOVER REQUIRED” packet。
• unistim_phone_startup.pcaplibpcap · 展示电话启动、请求 ip address 并与 cs2k server 建立连接。
• unistim-call.pcaplibpcap · 展示一部电话通过 cs2k server over unistim 呼叫另一部电话
• v6.pcaplibpcap · 展示 IPv6 (6-Bone) 和 ICMPv6 packet。
• v6-http.caplibpcap · 展示 IPv6 (SixXS) HTTP。
• vlan.cap.gzlibpcap · 大量不同协议，全都运行在 802.1Q virtual lan 上。

vms_tcptrace-full.txt (VMS TCPtrace) VMS TCPtrace/full 的样本输出。主要是 NFS packet。

• vnc-sample.pcapVirtual Networking Computing (VNC) session trace
• vxi-11.pcap.gzlibpcap · 扫描连接到 Agilent E5810A VXI-11-to-GPIB adapter 的仪器。
• WINS-Replication-01.cap.gzlibpcap · WINS replication trace。
• WINS-Replication-02.cap.gzlibpcap · WINS replication trace。
• WINS-Replication-03.cap.gzlibpcap · WINS replication trace。
• wpsdata.caplibpcap · WPS expanded EAP trace。

openwire_sample.tar.gz (libpcap) ActiveMQ OpenWire trace。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

drda_db2_sample.tgz(libpcap) 来自 DB2 的 DRDA trace。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

starteam_sample.tgz(libpcap) StarTeam trace。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

rtmp_sample.tgz(libpcap) RTMP (Real Time Messaging Protocol) trace。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

• rtmpt.pcap.bz2libpcap · 带 macromedia-fsc TCP-stuff 的 RTMPT trace。
• sample-imf.pcap.gzlibpcap · SMTP 和 IMF 捕获。也展示了一些 MIME_multipart。
• smtp.pcaplibpcap · SMTP 简单示例。
• captura.NNTP.caplibpcap · NNTP News 简单示例。
• sample-TNEF.pcap.gzlibpcap · TNEF trace，包含两个附件以及 message property。也展示了一些 SMTP、IMF 和 MIME_multipart trace。
• wol.pcaplibpcap · 从 ether-wake 和基于 Windows 的工具生成的 WakeOnLAN 样本 packet。
• zigbee-join-authenticate.pcap.gzlibpcap · 两个设备加入 ZigBee network 并通过 trust center 认证。网络使用 network key 和 trust center link key 加密。

IGMP dataset.pcap(igmp) igmp version 2 dataset原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

• yami.pcapyami · 使用 YAMI4 library 时捕获的样本 packet
• DHCPv6.pcapdhcpv6 · 样本 dhcpv6 client server transaction solicit(fresh lease)/advertise/request/reply/release/reply。
• dhcpv6_1.pcapdhcpv6 · 样本 dhcpv6 client server transaction solicit(requesting-old-lease)/advertise/request/reply/release/reply。
• ecpri.pcaplibpcap · eCPRI 样本文件。
• iperf3-udp.pcapng.gzpcapng · iPerf3 在 reverse UDP mode 下的样本捕获，使用 iperf3 -u -t 3 -c ping.online.net -p5208 -R
• 220614_ip_flags_google.pcapng展示各种 ip.flags bit 的 IPv4 ICMP 流量。包括 Reserved Bit / Evil Bit packet。（Nping：添加对在 ip flags 中设置 Reserved/Evil bit 的支持）
• ultimate_wireshark_protocols_pcap_220213.pcap.zip包含多种协议的捕获文件，对 fuzzing 有用。由 Sharon Brizinov 创建。（这不是 Johannes Weber 的 Ultimate PCAP）

irdma-sample.pcap15440: irdma: IBM i TRCCNN RDMA dissector

sample.pcapng17808: FR: Add possibility to define custom UUIDs, Chars & Handles to BTLE dissector

ADSL CPE

这里是法国 ISP SFR 提供的 CPE Neufbox 6 在 ADSL line 上发送数据的一些捕获。捕获方式是在 8/35 ATM VC 上通过 SSH 运行 tcpdump。

敏感信息如密码、电话号码、个人 IP/MAC address 等已被编辑并替换为等价值（checksum 也已重新计算）。

使用的协议包括 DHCP、PPP、Ethernet、IP、ARP、L2TP、SIP、RTP、DNS、ICMP、DHCPv6、NTP、IGMPv2、ICMPv6、HTTP、HTTPS、Syslog、RADIUS 等。

• nb6-startup.pcap包括 IPv4 和 IPv6 连接建立、configuration 下载、连接到 VoIP server 等。
• nb6-http.pcap三个不同的 HTTP request：第一个在 private IPv4 network (IPoE) 上发送，第二个在 public IPv4 network 上发送，第三个在 public IPv6 network (L2TP tunnel) 上发送。
• nb6-telephone.pcap到 SFR voicemail service 的简短电话呼叫。
• nb6-hotspot.pcap某人连接到 SFR 的 wireless community network。

病毒和蠕虫

• slammer.pcapSlammer worm 发送 DCE RPC packet。bnb
• dns-remoteshell.pcap查看 frame 22，Ethereal 检测到由 remoteshell 借道 DNS port 引起的 DNS Anomaly - ethereal 让 DNS Anomaly detection 变得简单 .. Anith Anand

破解痕迹

• teardrop.capPacket 8 和 9 展示 Teardrop attack 中重叠的 IP fragment。
• zlip-1.pcapDNS exploit，无尽地指向自身的 message decompression flaw。
• zlip-2.pcapDNS exploit，在 message decompression 时无尽交叉引用。
• zlip-3.pcapDNS exploit，通过一次又一次对同一 hostname 进行多次解压，创建一个非常长的 domain。
• can-2003-0003.pcap针对 CERT advisory CA-2003-03 的攻击

PROTOS 测试套件流量

以下文件是芬兰奥卢大学开发的 PROTOS test suite 生成流量的捕获。它们包含用于测试协议实现健壮性的 malformed traffic；也测试诸如 Wireshark 之类协议分析器的健壮性。

• c04-wap-r1.pcap.gz来自 c04-wap-r1.jar 的输出
• c05-http-reply-r1.pcap.gz来自 c05-http-reply-r1.jar 的输出
• c06-ldapv3-app-r1.pcap.gz来自 c06-ldapv3-app-r1.jar 的输出
• c06-ldapv3-enc-r1.pcap.gz来自 c06-ldapv3-enc-r1.jar 的输出
• c06-snmpv1-req-app-r1.pcap.gz来自 c06-snmpv1-req-app-r1.jar 的输出
• c06-snmpv1-req-enc-r1.pcap.gz来自 c06-snmpv1-req-enc-r1.jar 的输出
• c06-snmpv1-trap-app-r1.pcap.gz来自 c06-snmpv1-trap-app-r1.jar 的输出
• c06-snmpv1-trap-enc-r1.pcap.gz来自 c06-snmpv1-trap-enc-r1.jar 的输出
• c07-sip-r2.cap来自 c07-sip-r2.jar 的输出

特定协议和协议族

3GPP 3gpp_mc.cap(libpcap) 3gpp cn mc interface 捕获文件，包括 megaco 和 ranap packet原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

AirTunes ​

Apple AirTunes protocol，由 AirPort 使用。参见 http://git.zx2c4.com/Airtunes2/about/airtunes-1.pcap

Apache Cassandra ​

• apache-cassandra-cql-v3.pcapng.gz- CQL binary protocol version 3。规范见 https://raw.githubusercontent.com/apache/cassandra/cassandra-2.1/doc/native_protocol_v3.spec。

• arp-storm.pcaplibpcap · 每秒超过 20 个 ARP request，在 cable modem connection 上观察到。
• (220703_arp-storm.pcapngarp-storm.pcap 保存为 pcapng，并包含 Name Resolution Block 以加快显示)
• rarp_request.caplibpcap · 一个 reverse ARP request。
• rarp_req_reply.pcapngpcapng · RARP request 和 reply。

标准/规范见 https://www.atsc.org/atsc-documents/type/3-0-standards/

ALP Protocol ​

标准/规范：ATSC3 A/330

• alp-sample1.pcaplibpcap · - 使用 SiliconDust box 收集（Multiple PLP channel）。包括带 LMT table 的 LLS (Link Layer Signalling)（packet #6 (closed)）、带 Sony PLP header extension 的 packet（packet #1 (closed),3,5,...）以及 data packet
• alp-sample2.pcaplibpcap · - 使用 SiliconDust box 收集（Single PLP channel）。包括带 LMT table 的 LLS (Link Layer Signalling)（packet #2 (closed)）、带 Sony L1D Time Info header extension 的 packet（packet #84 (closed)）以及 data packet

标准/规范：ATSC3 A/331

• lls-tables-alp.pcaplibpcap · - 使用 SiliconDust box 从三个 ATSC3 station 收集。Packet #1 (closed)、#3 (closed) - Signed Multi Table（包含 SLT 和 SystemTime table）。Packet #2 (closed)、#4 (closed) - CDT (Certification Data Table)。Packet #5 (closed) - System Time table。Packet #6 (closed) - SLT (Service List Table)。Packet #7 (closed) - AEAT (Advanced Emergency Information Table)。Packet #8 (closed) - User Defined table。

标准/规范：ATSC3 A/331、ISO/IEC 14496-12、ISO/IEC 14496-14、3GPP TS 26.244

封装：alp:ip:udp:alc:rmt-lct:mp4

• mp4-ftyp-styp-sidx.pcaplibpcap · - 使用 SiliconDust 从不同 ATSC3 station 收集（closed captions segment）Packet #1 (closed) - MP4 segment (styp mp4 box)。提取的 mp4：styp。Packet #2 (closed) - MP4 truncated segment (styp mp4 box)。提取的 mp4：styp-trunc。Packet #3 (closed) - MP4 init segment (ftyp mp4 box)。提取的 mp4：ftyp。Packet #4 (closed) - MP4 truncated segment (sidx mp4 box)。提取的 mp4：sidx。Packet #5 (closed) - MP4 segment (sidx mp4 box)。提取的 mp4：sidx-trunc。

标准/规范：ATSC3 A/331、RFC 5651、RFC 5775、ISO/IEC 23008-1

封装：alp:ip:udp:alc

• ch11-25-slt.pcaplibpcap · - 使用 SiliconDust 从不同 ATSC3 station 收集。包括 signalling 和 data packet（ROUTE/DASH 和 MMTP）

• stp.pcaplibpcap
• STP_UplinkFast.pcapngpcapng · Cisco STP UplinkFast proxy multicast frame，发送到 0100.0ccd.cdcd。该文件包含在 root port switchover 后，代表 3 个 dynamic unicast MAC address 发送的 proxy（也称 dummy）multicast frame 捕获，用于向网络的 “upstream” 部分更新通向它们的新路径。对于每个 MAC address（001d.e50a.d740、0800.2774.b2c5、e4be.ede3.f013），switch 使用该特定 MAC address 作为 source、0100.0ccd.cdcd 作为 destination 发出 4 个 frame，每个 frame 使用不同 type：SNAP（OUI 0x00000c，PID 0x0115）、AppleTalk（EtherType 0x809b）、IPX（EtherType 0x8137）和 ARP（EtherType 0x0806）。frame payload 只是填充到最小 frame length；没有实际含义。

• l2ping.capLinux BlueZ hcidump · 包含一些使用 hcidump 捕获的 Bluetooth packet，这些 packet 来自 Linux BlueZ stack 中包含的 l2ping command。
• Bluetooth1.capLinux BlueZ hcidump · 包含一些使用 hcidump 捕获的 Bluetooth packet。

ws-cssp.tgz包含来自 Windows 和 freerdp client 的 RDP session，包含 CredSSP over TLS、GSS-KRB5、SPNEGO 和 U2U (user-to-user)。包括 certificate key 和 Kerberos keytab。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

TSRemoteGuardCreds.tgz包含使用 remoteguard (TSRemoteGuardCreds) 的 RDP session。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

UDP-Lite ​

若干 UDP-Lite packet，有些正确，有些错误。

• udp_lite_full_coverage_0.pcap如果 coverage=0，则对整个 packet 计算 checksum。
• udp_lite_illegal_1-7.pcap1..7 之间的 Coverage value（非法）。
• udp_lite_normal_coverage_8-20.pcap带正确 checksum 的正常项（合法）。
• udp_lite_illegal_large-coverage.pcap三个 coverage length 大于 packet length 的 trace。
• udp_lite_checksum_0.pcapchecksum 0 是非法的。

• nfs_bad_stalls.caplibpcap · 一个 NFS 捕获，包含许多 read request 的 response 中间出现的长 stall（约 38ms）。这有助于在 TCP Time Sequence Analysis 中查看阶梯效应。
• nfsv2.pcap.gzlibpcap · 几乎完整的所有 NFS v2 packet type trace。
• nfsv3.pcap.gzlibpcap · 几乎完整的所有 NFS v3 packet type trace。
• klm.pcap.gzlibpcap · 一个包含所有 KLM function 的 “fake” trace。
• rquota.pcap.gzlibpcap · 一个包含所有 RQUOTA function 的 “fake” trace。
• nsm.pcap.gzlibpcap · 一个包含所有 NSM function 的 “fake” trace。
• getsetacl.caplibpcap · 包含 NFSACL function 的 trace。
• nfsv4.1_pnfs.cap包含 pNFS 的 NFSv4.1 trace。

• smbtorture.cap.gzlibpcap · 展示大量 SMB feature 的捕获。该捕获使用 Samba4 smbtorture suite 针对 Windows Vista beta2 server 制作。

SMB 的旧版实现 ​

• smb-legacy-implementation.pcapng来自 Windows for Workgroups v3.11 的 NetBIOS 流量。展示 NetBIOS over LLC 和 NetBIOS over IPX。

• smb-browser-elections.pcapngNetBIOS 要求 Master Browser 跟踪 host announcement 并响应 Browser Request。Master Browser 按一系列条件选出。master browser 的角色应由稳定系统承担，因为 browser election 可能产生严重性能影响。此 trace 展示了一个防火墙配置错误的 client，阻止传入 UDP port 138。由于该 client 找不到 master browser，它通过反复进行 browser election 让所有其他系统停滞。

• SMB-locking.pcapng.gzlibpcap · SMB 和 SMB2 支持 opportunistic locking。client 可以发送 lock request。如有必要，server 必须通过向 client 发送 lock request 来打破冲突 lock。这有点不寻常：我们看到来自 server 的 request。大量 lock request 通常是性能不佳的指标。如果 lock request 以 blocking IO 的形式发出，用户会感觉应用程序以看似随机的方式冻结。

• smb-direct-manin-the-middle-02-reassemble-frames9.pcap.gzlibpcap · 两台 Windows 2012 机器之间的 SMB-Direct over iWarp，通过 port redirector 代理以便捕获流量。

• smb-on-windows-10.pcapnglibpcap · 两台运行 Windows 10 的 workstation 之间 SMB3 handshake 的短样本。

• smb3-aes-128-ccm.pcap连接到加密（AES-128-CCM）share 的 SMB3 connection 短样本（session id 3d00009400480000，session key 28f2847263c83dc00621f742dd3f2e7b）。

• smb311-aes-128-ccm-filt.pcap连接到加密（AES-128-CCM）share 的 SMB3.1.1 connection 短样本（session id 690000ac1c280000，session key b25a135fc3dc14269f20d7cbc8716b6b）。

初始值 ​

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

Negotiate protocol request ​

19 a0 81 73 9c 67 12 6a 6a 5a 68 52 39 63 fb d7 a5 84 cd 40 d5 7d ce af b6 1c c4 06 08 e5 e2 86 9d f7 04 1f 42 4d 39 a6 e1 11 d4 8c 8b 70 a0 51 5a 1d ea ae 7e 29 49 b0 1a 95 d8 b9 ae 22 1c bb

Negotiate protocol response ​

9b 8f 4c 61 dc 66 40 4c 40 1d 09 49 25 c9 9e 20 84 bb 39 15 1e 19 73 ff 65 b0 53 21 f1 da 9f d7 51 d1 9f 3d 90 9d 86 85 cd 1a 6d 5b 94 88 58 61 9f b9 c8 b8 4b ab 8b 59 77 91 89 bd c4 97 26 32

Session setup request (1st) ​

95 31 5f 50 0c 9f 5d c5 d4 a8 39 07 3b 58 02 12 bb 69 b7 cb 40 9e 70 73 ab 8f 3a d0 85 bf 62 ce a5 86 6d 7b 33 79 0f 56 c2 0a cb 38 be 3c 6a 05 48 38 f5 b4 44 a0 1f b5 a0 c1 d2 ce db b5 75 74

Session setup response (1st) ​

b5 00 d2 9c ae e7 8d 7e 75 73 94 c3 e2 41 15 8a bc 53 51 d0 bf c0 d7 89 b9 04 97 d8 15 9b 8a 40 0f 95 91 64 e0 cc 84 2e 32 7d 81 84 c8 53 19 dc e0 39 0c 1d 25 80 f9 d8 bc 1a bc 16 f5 f7 c6 79

Session setup request (2nd) ​

fb 11 6c 80 20 e2 3f d8 e4 e3 07 01 f1 da d7 af d8 e3 ff 22 0d c4 5b ff 1d 7f fb 92 ee a3 a6 89 5f 7f 49 39 b9 75 7e ed 97 a8 1e c4 fa d9 75 91 e8 81 73 de 78 1f 32 82 33 a6 f5 37 45 59 f1 2a

最终 server decryption key 是：F8 C1 A6 B5 44 E8 22 6F 98 EE 44 77 8E AF 31 6B

最终 client decryption key 是：39 40 71 F1 A2 1D B5 BA 68 3E FA 86 8C 36 AE DF

TCP ​

MPTCP pcap 请参见 MPTCP 部分。

• 200722_win_scale_examples_anon.pcapngTCP Window Scaling 示例 - 可用、无 scaling 和缺失/未知。
• 200722_tcp_anon.pcapngNetcat - string、file 和 character。

• iperf-mptcp-0-0.pcap在带 2 个 interface 的 client 和 host 之间以及 linux implementation 中运行 iperf。有 4 个 subflow，其中 2 个实际成功连接。
• redundant_stream1.pcapng使用 redundant scheduler 的 iperf，即相同数据同时通过多个 subflow 发送。启用所有 MPTCP option 后，你应该能看到 Wireshark 检测到跨 subflow 的 reinjection。例如尝试 filter "tcp.options.mptcp.rawdataseqno == 1822294653"：你应该会看到 3 个 packet 在 3 个不同 TCP connection 上发送相同数据。
• mptcp_v1.pcapng此 pcap 由 kernel 5.6 生成，展示 MPTCP version 1。

• pvfs2-sample.pcaplibpcap · PVFS2 copy operation（本地文件到 PVFS2 file system）

• http.cap一个简单的 HTTP request 和 response。
• http_gzip.cap一个简单的 HTTP request，带有单 packet gzip Content-Encoded response。
• http-chunked-gzip.pcap对 www.wireshark.org 的单个 HTTP request 和 response（使用 socat 代理以移除 SSL encryption）。response 使用 gzip 并使用 chunked encoding。添加于 2016 年 1 月。
• http_with_jpegs.cap.gz一个简单捕获，包含一些可 reassemble 并保存到文件的 JPEG picture。
• tcp-ethereal-file1.tracelibpcap · 一个大型 POST request，占用多个 TCP segment。
• tcp-ecn-sample.pcap使用 ECN (Explicit Congestion Notification) feature（按 RFC3168）进行文件传输的 TCP/HTTP 样本。Frame 48 经历了 Congestion Encountered。
• http_redirects.pcapng一个按 RFC 3986（ https://tools.ietf.org/html/rfc3986#section-5.4）包含多个 302 redirect 的 TCP/HTTP 样本。

Telnet ​

• telnet-cooked.pcaplibpcap · “cooked”（按行）模式的 telnet session。
• telnet-raw.pcaplibpcap · “raw”（按字符）模式的 telnet session。

• tftp_rrq.pcaplibpcap · 一个 TFTP Read Request。
• tftp_wrq.pcaplibpcap · 一个 TFTP Write Request。

• UFTP_v3_transfer.pcapngpcapng · 一个 UFTP v3 file transfer（未加密）。
• UFTP_v4_transfer.pcapngpcapng · 一个 UFTP v4 file transfer（未加密）。
• UFTP_v5_transfer.pcapngpcapng · 一个 UFTP v5 file transfer（未加密和加密）。

• bgp.pcapng.gzpcapng · 三个 peer 之间使用 community 并 announcing 六个 network 的 BGP packet。BGP implementation 是 FRRouting。
• bgp.pcap.gzlibpcap · BGP packet，包括 AS path attribute。
• bgp_shutdown_communication.pcaplibpcap · BGP Shutdown communication 的样本 packet https://tools.ietf.org/html/draft-ietf-idr-shutdown-01。
• bgpsec.pcaplibpcap · BGPsec OPEN 和 UPDATE message 样本。协议规范见 https://tools.ietf.org/html/rfc8205，更多 packet 示例见 https://tools.ietf.org/html/rfc8208#appendix-A。
• bmp.pcaplibpcap · BGP Monitoring Protocol，包括 Init、Peer Up、Route Monitoring
• EIGRP_Neighbors.cap两个 Cisco EIGRP peer 形成 adjacency。
• eigrp-for-ipv6-auth.pcapCisco EIGRP packet，包括 Authentication TLV
• eigrp-for-ipv6-stub.pcapCisco EIGRP packet，包括 Stub routing TLV
• eigrp-for-ipv6-updates.pcapCisco EIGRP packet，包括 IPv6 internal 和 external route update
• eigrp-ipx.pcapCisco EIGRP packet，包括 IPX internal 和 external route update

ipv6-ripng.gz(libpcap) RIPng packet (IPv6)原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

• ospf.caplibpcap · 简单 OSPF initialization。
• ospf-md5.caplibpcap · 简单 OSPF-MD5 Authentication。

SNMP ​

• b6300a.cap一组 SNMP GET 和 RESPONSE
• snmp_usm.pcap一系列 authenticated 以及一些 encrypted SNMPv3 PDU

Network Time Protocol ​

• NTP_sync.pcap（4KB，展示 NetworkTimeProtocol）

net time /setsntp:us.pool.ntp.orgnet stop w32timenet start w32time

需要注意的是，每个 pool.ntp.org DNS record 包含多个 address。Windows time client 似乎会查询所有这些 address。

• MicrosoftNTP.capMicrosoft Network Monitor · 2 个包含与 Microsoft NTP server 同步的 packet。

• SyncE_bidirectional.pcapng（1.5KB，展示 syncE protocol）

PostgreSQL v3 Frontend/Backend Protocol ​

• pgsql.cap.gz（2KB，展示一个简短的 PostgresProtocol session）

• pgsql-jdbc.pcap.gz（584KB，展示一个 PostgreSQL JDBC test session）

MySQL protocol ​

mysql_complete.pcap（6 KB，来自 bug 2691）原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

使用 SSL 的 MySQL 捕获请参见 #SSL_with_decryption_keys。

MS SQL Server protocol - Tabular Data Stream (TDS) ​

• ms-sql-tds-rpc-requests.cap（17 KB）RPC request 和若干 SQL query

Netgear NSDP ​

• ndsp_v2.pcapng.gzhttps://en.wikipedia.org/wiki/Netgear_NSDP 通过 Netgear SmartUtility 上传新 Firmware。Switch Netgear GS748Tv3 为 192.168.0.239。

Extreme Networks

• edp.trace.gz通用 EDP 流量
• edp1.trace.gz示例抓包文件

edp.esrp.gzEDP/ESRP 流量原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

• edp.eaps.mirror1.trace.gz示例抓包文件
• edp.eaps.mirror2.trace.gz示例抓包文件

• cdp.pcap来自 Cisco router 的 CDP v2 frame。
• cdp_v2.pcap来自 Cisco switch 的 CDP v2 frame。
• DTP.pcapng来自 Cisco switch 的 DTP frame。
• cdp-BCM1100.cap示例抓包文件

Mikrotiks mndp.pcap原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

DECT ​

• dump_2009-02-02_23_17_18_RFPI_00_4e_b4_bd_50.pcap.gz一个未加密 DECT phonecall 的 trace，带原始 Ethernet pseudoheader（参见 README.DECT）。被叫号码 0800-1507090（仅 DTMF？）

• new_rfp.pcap新 RFP 首次启动并配置进入 DECT system。
• new_rfp_on_wire.pcap同上，但没有外部解密。

属于 SIGTRAN family 的协议捕获。

• isup.cap使用 ISUP/MTP3/M3UA/SCTP/IP 的单个 call signalling sequence。注意：M3UA version preference 必须设置为 “Draft 6” 才能成功查看此文件（Edit->Preferences->Protocols->M3UA->M3UA Version->Internet Draft version 6）。
• isup_load_generator.pcap由 call load generator 生成并从 E1 line 捕获的 ISUP/MTP3/MTP2。捕获在每个 packet 末尾包括 frame check sequence。
• bicc.pcap样本 BICC PDU。
• camel.pcap使用 CAMEL/TCAP/SCCP/MTP3/M2UA/SCTP/IP 的单个 call。这个 “capture” 使用 text2pcap tool 从 MTP3 raw data trace 生成。该捕获包含以下 Camel operation：InitialDP、RequestReportBCSMEvent、ApplyCharging、Continue、EventReportBCSM、ApplyChargingReport、ReleaseCall。
• camel2.pcap与 camel.pcap capture 相同，只是使用了另一个 Camel phase。另一个区别是 call 被拒绝。该捕获包含以下 Camel operation：InitialDP、RequestReportBCSMEvent、Connect、ReleaseCall。
• gsm_map_with_ussd_string.pcap这个 “capture” 使用 text2pcap tool 从 MTP3 raw data trace 生成。它包含一个带 USSD String（GSM 7 bit encoded）的 GSM MAP processUnstructuredSS-Request MAP operation。
• ansi_map_ota.pcapANSI MAP OTA trace。
• ansi_map_win.pcapANSI MAP over ANSI MTP3 with WIN message。
• packlog-example.capCisco ITP 的 Packet Logging Facility packet（封装在 syslog message 中的 SS7 MSU）示例捕获。它包含一些随机 MSU：MTP3MG、TCAP 和 GSM_MAP。捕获中没有任何完整 dialog。
• japan_tcap_over_m2pa.pcapTCAP over Japan SCCP/MTP over M2PA（RFC version）的示例。
• ansi_tcap_over_itu_sccp_over_mtp3_over_mtp2.pcapANSI TCAP carried over ITU SCCP/MTP3/MTP2 的示例。严格来说，这应放在 SampleCaptures 页面的 “SS7” 部分。

• sctp.cap样本 SCTP PDU，Megaco。
• sctp-test.cap样本 SCTP handshaking 和 DATA/SACK chunk。
• sctp-addip.cap执行 Vertical Handover 的样本 SCTP ASCONF/ASCONF-ACK Chunk。
• sctp-www.cap在 Apache2 HTTP Server 和 Mozilla 之间承载 HTTP message 的样本 SCTP DATA Chunk。
• SCTP-INIT-Collision.cap展示 association setup collision（两个 peer 都尝试连接对方）的样本 SCTP trace。

• ipmi.SDR.FRU.SEL.pcap打开和关闭 session，并检索 SDR、SEL 和 FRU。这个 “capture” 使用 text2pcap tool 从 RMCP raw data trace 生成。
• ipmi.sensor.event.RR.pcap打开和关闭 session，并执行不同的 Sensor/Event request 和 response。这个 “capture” 使用 text2pcap tool 从 RMCP raw data trace 生成。

• ipmb.multi.packets.pcaplibpcap · 。IPMB interface 捕获文件，包括多个 request 和 response packet。

• aaa.pcap样本 SIP 和 RTP 流量。

• SIP_DTMF2.cap样本 SIP call，带 RFC 2833 DTMF
• DTMFsipinfo.pcap样本 SIP call，带 SIP INFO DTMF
• h223-over-rtp.pcap.gzlibpcap · SIP 协商后在 RTP 上运行 H.223 的样本。
• h263-over-rtp.pcaplibpcap · SIP 协商后 RFC 2190 H.263 over RTP 的样本。
• metasploit-sip-invite-spoof.pcapMetasploit 3.0 SIP Invite spoof capture。
• FAX-Call-t38-CA-TDM-SIP-FB-1.pcap从 TDM 到 SIP over Mediagateway 的 Fax call，declined T38 request，megaco H.248。
• Asterisk_ZFONE_XLITE.pcap样本 SIP call，带 ZRTP protected media。

MagicJack+ short test call 一个完整电话呼叫示例

• sip-rtp-opus-hybrid.pcapSIP 和 OPUS hybrid payload，包括 OPUS-multiple frames packet。
• rtp-opus-only.pcap仅 RTP Opus payload（不含 SIP/SDP）。

• sip-rtp-dvi4.pcap
• sip-rtp-g711.pcap - 同时包含 G.711A (PCMA) 和 G.711U (PCMU)
• sip-rtp-g722.pcap
• sip-rtp-g726.pcap - 有八个变体：(AAL2-)G726-16/24/40/40
• sip-rtp-gsm.pcap
• sip-rtp-ilbc.pcap
• sip-rtp-l16.pcap - 四个变体：8000/2、16000/2、11025、48000
• sip-rtp-lpc.pcap
• sip-rtp-opus.pcap - 48kHz clock rate 的 Opus mono session
• sip-rtp-speex.pcap - 三种 sample rate：8/16/32kHz
• sip-rtp-g729a.pcap

sip-tls-1.3-and-rtcp.zip启用 RTCP 的 SIP call over TLS 1.3 transport。使用 openssl 1.1.1 prerelease version原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

RTSP Protocol ​

这里有一些 Microsoft Network Monitor format 的 RTSP packet：RTSPPACKETS1.cap原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

• rtsp_with_data_over_tcp.caplibpcap · 一个 RTSP reply packet。

• h223-over-iax.pcap.gzlibpcap · H.223 over IAX 的样本，包括 H.263 和 AMR payload。
• h223-over-tcp.pcap.gzlibpcap · H.223 over TCP 的样本。你需要选择 “Decode as... H.223”。
• h223-over-rtp.pcap.gzlibpcap · SIP 协商后 H.223 over RTP 的样本。

• 1920x1080_H.265.pcapnglibpcap · RTSP 协商后 H.265 over RTP 的样本。

• MGCP.pcaplibpcap · Media Gateway Control Protocol (MGCP) 的样本。

• VariousUSBDevices.pcaplibpcap · 多条 bus 上的各种 USB device

拔下并重新插入 mouse 时交换的 USB packet：mouse_replug2.pcap原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

• usbstick3.pcap.gzlibpcap · 插入 USB2.0 stick、mount、列出内容。
• usbhub.pcap.gzlibpcap · 插入一个无外部电源的 usb2.0 4-port hub，将 logitech presenter 插入其中一个端口，按一个按钮，拔下 presenter，拔下 hub。使用外部供电 hub 重复。

• usb_memory_stick.pcap插入 usb stick 并 mount
• usb_memory_stick_create_file.pcap在先前 mounted 的 memory stick 中创建新文件并写入一些文本
• usb_memory_stick_delete_file.pcap从 memory stick 删除先前创建的文件。
• Bluetooth_HCI_and_OBEX_Transaction_over_USB.ntar.gz包含一个通过 USB 的 Bluetooth session（包括连接所用 USB adaptor、与 mobile phone pairing、通过 RFCOMM/L2CAP/OBEX 接收文件，最后移除 USB Bluetooth adaptor）
• xrite-i1displaypro-argyllcms-1.9.2-spotread.pcapngArgyllCMS 1.9.2 使用 X-Rite i1 Display Pro color sensor 进行单次测量（spotread）。某些其他 sensor，如几乎相同的 ColorMunki Display，使用相同 protocol。

• usb_u3v_sample.pcapng使用 USB3Vision camera 的 sample control 和 video traffic
• xrite-i1displaypro-i1profiler.pcap.gzX-Rite i1Profiler v1.6.6.19864 使用 X-Rite i1 Display Pro color sensor 测量 display profile，使用 USBPcap 1.0.0.7 捕获。某些其他 sensor，如几乎相同的 ColorMunki Display，使用相同 protocol。

SB1240-via-hub_usbll.7z USB Audio class device SB1240 (Full-Speed) 通过 High-Speed USB Hub 连接到 host。包含 Hub 和 Host 之间 HS link、SB1240 和 Hub 之间 FS link，以及 USB Host 上 usbmon 的同步捕获。

STM32L053-Nucleo-via-hub.7z Composite device（ST-LINK Vendor specific protocol、Mass Storage class、CDC Class）STM32L053 Nucleo (Full-Speed) 通过 High-Speed USB Hub 连接到 host。包含 Hub 和 Host 之间 HS link、SB1240 和 Hub 之间 FS link，以及 USB Host 上 usbmon 的同步捕获。只有 Mass Storage class interface 被主动使用。

USBMSC-USBLL.7z USB memory stick 在 Windows 上连接并 mounted。包括 link layer capture 和匹配的 USBPcap capture。

带 Darwin (macOS 等) header 的 USB packet ​

• XHC1-SanDiskExtremePortableSSD.pcapng示例抓包文件
• XHC20-LogitechUnifying.pcapng.gz示例抓包文件
• XHC20-MicrosoftKeyboard.pcapng.gz示例抓包文件
• XHC20-OpenVizsla.pcapng.gz示例抓包文件

test.usbdump 样本 FreeBSD usbdump capture file。

WAP Protocol Family ​

• WAP_WBXML_Provisioning_Push.pcap包含一个带 Client Provisioning document 的 WSP Push PDU，该 document 用 WBXML 编码。此示例来自 WAP Provisioning specification。
• wap_google.pcap包含两个 WSP request-response dialog。

• x509-with-logo.cap包含（packet 18）一个含 RFC3709 LogotypeCertificateExtensions 的 X.509 digital certificate。

• ldap-controls-dirsync-01.cap样本 LDAP PDU，带 DIRSYNC CONTROLS
• ldap-krb5-sign-seal-01.cap样本 GSSAPI-KRB5 signed and sealed LDAP PDU
• ldap-and-search.pcap带 AND filter 的样本 search filter，filter
• ldap-attribute-value-list.pcap带 attribute value list 的样本 search filter
• ldap-extensible-match-with-dn.pcap带 dnAttributes 的 extensible match 样本 search filter
• ldap-extensible-match.pcap带 simple extensible match 的样本 search filter
• ldap-substring.pcap带 substring match 的样本 search filter
• ldap-ssl.pcapng加密 LDAP 流量，更多详情见 #SSL_with_decryption_keys。

• lldp.minimal.pcaplibpcap · 简单 LLDP packet。
• lldp.detailed.pcaplibpcap · 带更多细节的 LLDP packet。
• lldpmed_civicloc.pcaplibpcap · 带 TLV entry 的 LLDP-MED packet，包括 civic address location ID、network policy 和 extended power-via-MDI。

D-Link Ethernet Switch Smart Console Utility LLDP (libpcap)D-Link LLDP SmartConsole Utility。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

• lldp-shutdown-pdu.pcapng.gzlibpcap · 在 GNS3 中两个 SONiC device 之间配置 no lldp enable on an interface 时的 LLDP 捕获。

iscsi-scsi-data-cdrom.zip包含 MS iSCSI Initiator 与 Linux iSCSI Enterprise Target 之间 iSCSI 流量的完整日志，其中导出了一个真实 SCSI CD-ROM。该 CD-ROM 中有 Fedora Core 3 installation CD。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

iscsi-scsi-10TB-data-device.zip包含 MS iSCSI Initiator 与 Linux iSCSI Enterprise Target 之间 iSCSI 流量的完整日志，其中导出了一个 10TB block device。参见 READ_CAPACITY_16、READ_16 和 WRITE_16 的使用。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

iscsi-tapel.gz包含 Linux open-iscsi initiator 与 Linux iSCSI Enterprise Target 之间 iSCSI 流量的一些操作日志。target 是 EXABYTE EXB480 Tape library。执行了各种 mtx operation。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

• fcip_trace.cap来自 http://www.wireshark.org/lists/ethereal-dev/200212/msg00080.html，包含 fcip 流量，但遗憾的是没有 SCSI over FCP over FCIP
• fcoe-t11.cap.gz具有 FCoE encapsulation，展示 host adapter 执行 fabric 和 port login、discovery 和 SCSI Inquiry 等。它使用 2007 年 8 月的 T11 converged frame format。
• fcoe1.cap使用较旧 FCoE frame format 的类似 frame 集合，该格式是在 2007 年 8 月版本之前提出的。
• fcoe-t11-short.cap是 SCSI write 一部分的 trace，每个 frame 仅捕获前 64 字节。
• fcoe-drop-rddata.cap是 SCSI read 的 trace，其中执行了 REC 和 SRR recovery。

FIP 是 FCoE Initialization Protocol。fip-adv.cap.gz 展示 advertisement、discovery 和 FLOGI。fip-ka.cap.gz 展示 keep-alive 和 clear-virtual-link。请注意 host 和 gateway 不一定正确使用 FIP。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

• scsi-osd-example-001.pcap是 IBM osd_initiator_3_1_1（一个 OSD tester application）操作 IBM 的 ibm-osd-sim（OSD target device 的仿真）的 trace。涉及的 transport 是 iSCSI，并使用了相对少见的新 SCSI feature：bidirectional data transfer。该 trace 捕获初始 iSCSI Login，通过 INQUIRY 和 REPORT LUNS，随后是一系列来自 SCSI-OSD command set 的 command，如 FORMAT OSD、LIST、CREATE PARTITION、CREATE、WRITE、READ、REMOVE、REMOVE PARTITION 和 SET ROOT KEY。

MANOLITO Protocol ​

• PioletSearch.Manolito.capMicrosoft Network Monitor · 这里有一个 Piolet/Blubster (MANOLITO) capture 供你欣赏：这是我使用 Piolet 搜索一些 Dr. Alban 歌曲时捕获的几个 packet。
• Manolito2.capMicrosoft Network Monitor · 这里还有一些 Manolito packet（这次只是普通 sign-in）。

• BitTorrent.Transfer1.capMicrosoft Network Monitor · 这里有一个包含几个 BitTorrent packet 的捕获；它包含我在 BitTorrent 下载某些内容时得到的一些小 packet。
• BITTORRENT.pcaplibpcap · 两个 torrent client 在没有 DHT 或 peer exch 的情况下通信的捕获文件。

• SoulSeekRoom.capMicrosoft Network Monitor · 这里有一个包含几个 SoulSeek packet 的捕获；它包含我浏览一些 SoulSeek room 时得到的一些小 packet。

• jxta-sample.pcaplibpcap · 一个 JXTA client 和 rendezvous 使用多个 JXTA pipe 进行聊天的 trace。
• jxta-mcast-sample.pcaplibpcap · 一个 JXTA client 和 rendezvous 在启用 UDP multicast 的情况下使用多个 JXTA pipe 进行聊天的 trace。

• smpp.caplibpcap · 一个 SMPP 捕获，展示 Bind_transmitter、Submit_sm 和 Unbind request flow。

Kaspersky AntiVirus Updater 使用的一些 packet 示例：KasperskyPackets.CAP原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

Kerberos and keytab file for decryption ​

krb-816.zip两个用户从 Windows XP 登录 domain 时的 Kerberos 流量示例。包含 keytab file。在 wireshark 0.10.12 的 Kerberos decryption function 中，一些 encrypted data 可以被解密。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

• kpasswd_tcp.cap一个通过 TCP 发送的 Kerberos password change 示例。

kerberos-Delegation.zipWindows Active Diretory 中 Kerberos Delegation 的示例。也包含 Keytaf file。请使用 Wireshark 0.10.14 SVN 17272 或以上版本打开该 trace。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

constained-delegation.zipWindows 2003 domain 中 Kerberos constrained delegation (s4U2Proxy) 的示例。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

• win_s4u2self.pcap使用 W2k8 server 和 Win7 client 的 Kerberos protocol transition (s4U2Self) 示例（无 key）。

s4u2self_with_keys.tgz使用 W2k16 server 和 MIT client 的另一个 Kerberos protocol transition (s4U2Self) 示例（带 key）。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

S4U2Self_with_certificate.tgz使用 X509 certificate 的 Kerberos protocol transition (s4U2Self)（带 key）。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

rbcd_win_with_keys.tgzKerberos s4U2Proxy resource-based-constrained-delegation（带 key）。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

rbcd_win_two_transits_with_keys.tgzKerberos s4U2Proxy resource-based-constrained-delegation two transit（带 key）。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

krb5_tgs_fast.tgz带 FAST padata 的 Kerberos TGS。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

mDNS & Apple Rendezvous ​

ZIP 压缩的 mDNS (Apple Rendezvous) Dump - MS NetMon Format：mDNS1.zip原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

Point-To-Point (PPP) ​

• PPPHandshake.cap使用 Microsoft Windows VPN 的 PPP Handshake - MS NetMon Format
• PPP-config.capDirect Cable Connection (WinXP) 的 LCP 和 IPCP configuration

• ppp_lcp_ipcp.pcapPPP LCP 和 IPCP 流量，带针对 CCP 的 protocol reject。

telecomitalia-pppoe.pcap原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

Telecom Italia ADSL CPE 与其一个 Juniper（前 Unisphere）BNAS 之间的 PPPoE exchange。

• CPE 发送 discovery initiation frame (PADI) 并收到 offer (PADO)。
• CPE 使用 dummy credential “aliceadsl” 发送 authentication request，username 和 password 均为该值。这些没有用，因为实际 authentication 通过 DSLAM 拦截 PPPoE discovery frame 并加入 Circuit-ID/NAS-Port-ID tag 来执行，该 tag 对 customer DSLAM port 唯一。随后 Telecom Italia 场所内的 RADIUS server 会验证此 tag。此过程对用户隐藏且透明，无法在此展示。
• authentication 后，我们的 CPE 收到包含 configuration information 的 IPCP message，例如 public IP、default gateway 和 DNS configuration。
• 我们现在已在 Internet 上。PPP LCP Echo request 和 Echo reply 作为 session keep-alive check 发送。

Contributed by Lorenzo Cafaro。

X.400 ​

这些捕获用于测试 Session (SES)、Presentation(PRES)、Assocation Control (ACSE)、Reliable Transfer (RTSE)、Remote Operations (ROSE)、X.400 P1 Transfer (X411)、X.400 Information Object X420 和 STANAG 4406 S4406 dissector。

Contributor: Graeme Lunt

x400-ping-refuse.pcap（2KB）原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

x400-ping-success.pcap（2KB）原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

p772-transfer-success.pcap（4KB）原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

Direct Message Protocol ​

Contributor: Stig Bjorlykke

dmp-examples.pcap.gz（667B）原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

STANAG 5066 SIS ​

这些捕获展示使用 STANAG 5066 Subnetwork Interface Sublayer (S5066_SIS) 成功和不成功传输一行简单文本。

Contributor: Menno Andriesse

S5066-HFChat-1.pcap（4KB）原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

S5066-HFChat-Rejected.pcap（2KB）原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

Contributor: Taner Kurtulus

S5066-Expedited.pcap（2KB）原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

STANAG 5066 DTS ​

这些捕获展示两个 peer 之间通过 hardlink 成功进行 BFTP transfer。

Contributor: İbrahim Can Yüce

Stanag5066-TCP-ENCAP-Bftp-Exchange-tx-rx.pcapng原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

Stanag5066-RAW-ENCAP-Bftp-Exchange-tx.pcap原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

RTP Norm ​

这些捕获展示 RTP NORM transfer 的样本。

Contributor: Julian Onions

rtp-norm-transfer.pcap（291.2 KB）原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

rtp-norm-stream.zip（673.4 KB）原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

DCE/RPC and MSRPC-based protocols ​

本节中的捕获展示与各种基于 DCE/RPC 和 MSRPC 的 interface 相关的流量。

dcerpc-fault-stub-data-02.pcap.gz原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

DSSETUP MSRPC interface ​

dssetup_DsRoleGetPrimaryDomainInformation_standalone_workstation.cap（1.0 KB）原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

dssetup_DsRoleGetPrimaryDomainInformation_ad_member.cap（1.5 KB）原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

dssetup_DsRoleGetPrimaryDomainInformation_ad_dc.cap（1.0 KB）原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

dssetup_DsRoleDnsNameToFlatName_w2k3_op_rng_error.cap（1.0 KB）原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

dssetup_DsRoleDnsNameToFlatName_w2k.cap（1.0 KB）原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

dssetup_DsRoleUpgradeDownlevelServer_MS04-011_exploit.cap（5.0 KB）原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

NSPI MSRPC Interface ​

nspi.pcap（7.2 KB）原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

ROP MSRPC Interface ​

ShortMAPI.pcapngDescription: 这是一个短的（失败的）MAPI conversation，展示 connect、ROP 和 disconnect。conversation 因 authentication/encryption mismatch 而失败。（Windows 2003 SBS Server 和 Win10 上的 Outlook 2003）原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

mapi.cap.gz (libpcap) MAPI session，使用 Outlook 和 MSX server，目前 Wireshark 不会 decode。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

WINREG Interface ​

dcerpc-winreg-with-rpc-sec-verification-trailer.pcap原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

WITNESS Interface ​

dcerpc_witness.pcapng原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

MS-TSCH Interface ​

使用 SchRpcRegisterTask method 创建两个 scheduled task，然后使用 SchRpcEnumTasks method 列出所有 task。流量为 cleartext。参见带 encrypted traffic 的等价文件 #ntlmssp

• create_two_tasks_then_enum_RPC_C_AUTHN_LEVEL_CONNECT_NTLMv2.pcapng示例抓包文件

示例 1：ESP Payload Decryption and Authentication Checking 示例 ​

Archive: ipsec_esp.tgz原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

一些来自 2006 年的 ESP payload decryption 和 authentication checking 示例。四个 archive 已合并，SA 已从 Ethereal preferences format 转换为 esp_sa uat file。除此之外，示例未作修改。

内容：

• ipsec_esp_capture_1：v4/v6 中 simple transport mode 的 ESP payload decryption 和 authentication checking。
• ipsec_esp_capture_2：v4 中 tunnel mode 的 ESP payload decryption 和 authentication checking。
• ipsec_esp_capture_3：对 RFC4305 中未定义的一些更多 encryption algorithm 进行带 authentication checking 的 ESP payload decryption。
• ipsec_esp_capture_5：使用指定为 hexadecimal value 的 binary key 进行 authentication checking 和 decryption

Contributors: Frederic Roudaut (2006), Matthias St. Pierre (2021)

示例 2：加密（以及 UDP 封装）的 IKEv2 和 ESP message 解析 ​

Archive: ipsec_ikev2+esp_aes-gcm_aes-ctr_aes-cbc.tgz原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

NAT device 后的 VPN client (192.168.245.131) 使用 IKEv2 三次连接到 VPN gateway (172.16.15.92)，用户通过 VPN tunnel (192.168.225.0/24) 向 gateway (192.168.225.1) 发送一些 ping，这些 ping 成功返回，然后断开连接。三次连接的区别在于用于加密 IKE_AUTH 和 ESP message 的 AES operation mode（依次为 AES-GCM、AES-CTR 和 AES-CBC）：

| Nr | Encryption | Authentication | 1 | AES-GCM with 16 octet ICV [RFC4106] | NULL | 2 | AES-CTR [RFC3686] | HMAC-SHA-256-128 [RFC4868] | 3 | AES-CBC [RFC3602] | HMAC-SHA-256-128 [RFC4868]

整个 conversation (IKE+ESP) 都通过 UDP 封装发送在 port 4500 上。

内容：

• capture.pcap：packet capture file
• esp_sa：ESP SA 的 decryption table（需要 Merge Request !3444）
• esp_sa.no_icv ESP SA 的 decryption table（没有 AES-GCM ICV length；用于当前 Wireshark release）
• ikev2_decryption_table：IKEv2 SA 的 decryption table

Contributor: Matthias St. Pierre

Pro-MPEG FEC - Professional video FEC data over RTP ​

协议描述见 2dParityFEC。

2dParityFEC-Example.cap.gz原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

SSL with decryption keys ​

snakeoil2_070531.tgz原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

dump.pcapng, premaster.txt原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

File: mysql-ssl.pcapng（11 KB，来自 https://git.lekensteyn.nl/peter/wireshark-notes/commit/tls/mysql-ssl.pcapng?id=8cfd2f667e796e4c0e3bdbe117e515206346f74a，SSL key 在 capture file comment 中）

File: mysql-ssl-larger.pcapng（show variables response in two TLS records and multiple TCP segments）（22 KB，来自 https://git.lekensteyn.nl/peter/wireshark-notes/commit/tls/mysql-ssl-larger.pcapng?id=818f97811ee7d9b4c5b2d0d14f8044e88787bc01，SSL key 在 capture file comment 中）

File: smtp-ssl.pcapng（8.8 KB，来自 https://git.lekensteyn.nl/peter/wireshark-notes/commit/tls/smtp-ssl.pcapng?id=9615a132638741baa2cf839277128a32e4fc34f2，SSL key 在 capture file comment 中）

File: smtp2525-ssl.pcapng（SMTP over non-standard port 2525）（8.8 KB，来自 https://git.lekensteyn.nl/peter/wireshark-notes/commit/tls/smtp2525-ssl.pcapng?id=d448482c095363191ff5b5b312fa8f653e482425，SSL key 在 capture file comment 中）

File: xmpp-ssl.pcapng（15 KB，来自 https://git.lekensteyn.nl/peter/wireshark-notes/commit/tls/xmpp-ssl.pcapng?id=fa979120b060be708e3e752e559e5878524be133，SSL key 在 capture file comment 中）

File: pop-ssl.pcapng（POP3）（9.2 KB，来自 https://git.lekensteyn.nl/peter/wireshark-notes/commit/tls/pop-ssl.pcapng?id=860c55ba8449a877e21480017e16cfae902b69fb，SSL key 在 capture file comment 中）

File: imap-ssl.pcapng（10 KB，来自 https://git.lekensteyn.nl/peter/wireshark-notes/commit/tls/imap-ssl.pcapng?id=1123e936365c89d43e9f210872778d81223af36d，SSL key 在 capture file comment 中）

File: pgsql-ssl.pcapng（7.7 KB，来自 https://git.lekensteyn.nl/peter/wireshark-notes/commit/tls/pgsql-ssl.pcapng?id=836b6f746df24aa04fa29b71806d8d0e496c2a68，SSL key 在 capture file comment 中）

File: ldap-ssl.pcapng（8.3 KB，来自 https://git.lekensteyn.nl/peter/wireshark-notes/commit/tls/ldap-ssl.pcapng?id=d931120107e7429a689a8350d5e49c1f1147316f，SSL key 在 capture file comment 中）

File: http2-16-ssl.pcapng（带 ALPN h2-16 extension 的 HTTP2）（5.1 KB，来自 https://git.lekensteyn.nl/peter/wireshark-notes/commit/tls/http2-16-ssl.pcapng?id=a24c03ce96e383faf2a624bfabd5cc843e78ab2a，SSL key 在 capture file comment 中）

File: amqps.pcapng（使用 RabbitMQ server 和 Celery client 的 AMQP）（5.1 KB，来自 https://git.lekensteyn.nl/peter/wireshark-notes/commit/tls/amqps.pcapng?id=3c00336b07f1fec0fb13af3c7d502d51fab732b7，SSL key 在 capture file comment 中）

以上 *-ssl.pcapng 捕获文件可在 https://git.lekensteyn.nl/peter/wireshark-notes/tree/tls/ 找到，pre-master key secret 可在 capture file comment 中获取。更多详情见 commit log。key 已使用 LD_PRELOAD interposing library libsslkeylog.so (sslkeylog.c) 从 OpenSSL library 中提取。

TLS 1.3 捕获和 key 请参见 Bug 12779。例如，Chromium 61（TLS 1.3 draft -18）使用 HTTP/2 连接到 enabled.tls13.com，可在此 comment 中找到。

SSH with decryption keys ​

ssh_curve25519-aes128-gcm_opensshS.pcapng原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

ssh_curve25519-aes128-cbc_opensshS.pcapng原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

ssh_curve25519-aes128-ctr_opensshS.pcapng原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

ssh_curve25519-aes192-cbc_opensshS.pcapng原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

ssh_curve25519-aes192-ctr_opensshS.pcapng原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

ssh_curve25519-aes256-gcm_opensshS.pcapng原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

ssh_curve25519-aes256-cbc_opensshS.pcapng原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

ssh_curve25519-aes256-ctr_opensshS.pcapng原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

ssh_dhgex-sha256_aes256-gcm_opensshS.pcapng原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

ssh_dhg14-sha256_aes256-gcm_opensshS.pcapng原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

ssh_dhg14-sha256_aes256-gcm_opensshS.pcapng原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

ssh_dhg16-sha512_aes256-gcm_opensshS.pcapng原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

ssh_dhg18-sha512_aes256-gcm_opensshS.pcapng原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

ssh_dhg1-sha1_aes256-gcm_opensshS.pcapng原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

ssh_dhgex-sha1_aes256-gcm_opensshS.pcapng原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

sftp_curve25519-chacha20-poly1305_openssh-reassembleS.pcapng原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

sftp_curve25519-aes128-ctr_reassembleS.pcapng原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

sftp_dhgex-sha1_aes128-ctr-reassembledS.pcapng原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

sftp_dhgex-sha1_aes256-gcm_openssh-reassembleS.pcapng原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

MCPE/RakNet ​

MCPE-0.15.pcapng原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

NDMP ​

ndmp.pcap.gz原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

Kismet Client/Server protocol ​

kismet-client-server-dump-1.pcap原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

kismet-client-server-dump-2.pcap.gz原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

Kismet Drone/Server protocol ​

kdsp.pcap.gz原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

DTLS with decryption keys ​

snakeoil.tgz原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

DTLS JPAKE as used in ThreadGroup Commissioning ​

ThreadCommissioning-JPAKE-DTLS-1.pcapng原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

ThreadCommissioning-JPAKE-DTLS-2.pcapng原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

ThreadCommissioning-JPAKE-DTLS-NSS原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

ETHERNET Powerlink v1 ​

epl_v1.cap.gz原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

ETHERNET Powerlink v2 ​

epl.cap.gz原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

epl_sdo_udp.cap原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

Architecture for Control Networks (ACN) ​

acn_capture_example_1.cap原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

Intellon Homeplug (INT51X1) ​

homeplug_request_channel_estimation.pcap原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

Description: Homeplug 示例流量。Request Channel Estimation (RCE) frame 的捕获。File: homeplug_request_parameters_and_statistics.pcap原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

Description: Homeplug 示例流量。Request Parameters and Statistics (RPS) frame 的捕获。File: homeplug_network_statistics_basic.pcap原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

Wifi / Wireless LAN captures / 802.11 ​

Network_Join_Nokia_Mobile.pcap原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

wpa-Induction.pcap原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

wpa-eap-tls.pcap.gz原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

http_PPI.cap原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

mesh.pcap原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

mesh_assoc_truncated.pcapngDescription: association 和 beacon packet 的 802.11s 捕获原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

File:wpa2linkuppassphraseiswireshark Description: 典型 WPA2 PSK linked up process（SSID 为 ikeriri-5g，passphrase 为 wireshark，因此你可以在 IEEE802.11 wireless LAN settings 的 decryption key settings 中选择 wpa-pwd，输入 wireshark:ikeriri-5g）

TrunkPack Network Control Protocol (TPNCP) ​

tpncp_udp.pcap原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

tpncp_tcp.pcap原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

EtherCAT ​

ethercat.cap.gz原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

iWARP Protocol Suite ​

这些捕获展示 MPA/DDP/RDMAP communication。

Contributor: Philip Frey

iwarp_connect.tar.gz（1.4KB）原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

iwarp_send_recv.tar.gz（1.9KB）原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

iwarp_rdma.tar.gz（7KB）原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

IPv6（及隧道机制） ​

Teredo.pcap原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

6to4.pcap原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

6in4.pcap.gz原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

6LoWPAN.pcap.gz原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

6lowpan-rfrag-icmpv6.pcapng原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

sr-header.pcap原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

TTEthernet (TTE) ​

TTE_mix_small.pcap原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

GSM ​

abis-accept-network.pcap原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

abis-reject-network.pcap原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

gsm_call_1525.xml原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

gsm_sms2.xml原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

gsm-r.uus1.pcap原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

UMTS ​

IuB interface ​

UMTS_FP_MAC_RLC_RRC_NBAP.pcap原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

Iu-CS over IP interface(MoC) ​

Mobile Originating Call(AMR).pcap原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

Iu-CS over IP interface(MtC) ​

Mobile Terminating Call(AMR).pcap原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

X11 ​

x11-gtk.pcap.gz 一个 GTK app 仅打开 error dialog。测试 RENDER extension 中相当意外的一大部分。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

x11-shape.pcap.gz vtwm、xcalc 和 xeyes。多个 SHAPE extension request 和一个 ShapeNotify event。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

x11-composite.pcap.gz vtwm、2x xlogo 和 xcompmgr。测试 Composte、Damage 和 XFixes extension 的部分内容。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

x11-glx.pcap.gz 几帧 glxgears，用于演示 GLX/glRender dissection。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

x11-xtest.pcap.gz 一个 xtest test run，使用 XTEST extension。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

x11-res.pcap.gz xlogo 和一次 xrestop iteration，用于演示 X-Resource extension。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

x11-xinput.pcapngxinput list，用于演示 XInputExtension extension。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

Gopher ​

gopher.pcapGopher protocol 的捕获（一个 gopher browser 检索少量文件和目录）。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

InfiniBand ​

infiniband.pcap（8.7KB）原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

Network News Transfer Protocol (NNTP) ​

nntp.pcapNNTP protocol 的捕获（一个 KNode client 从 Leafnode server 上的两个 group 检索少量 message）。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

FastCGI (FCGI) ​

fcgi.pcap.gz FCGI protocol 的捕获（单个 HTTP request 由 FCGI application 处理）。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

Lontalk (EIA-709.1) encapsulated in EIA-852 ​

eia709.1-over-eia852.pcapLontalk homeautomation protocol 的捕获。大量 button press、temperature sensor 等。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

DVB-CI (Common Interface) ​

dvb-ci_1.pcap原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

DVB-CI module 被插入 receiver 并初始化。receiver 要求 module descramble 一个 Pay-TV service。片刻后发生 service change，并请求 descramble 新选择的 service。几秒后，module 从 receiver 中移除。

dvb-ci_2.pcap原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

DVB-CI host 和 module 之间的通信，其中 link layer 上最大 message size 为 16 bytes。来自 upper layer 的较大 message 必须被 fragmented 和 reassembled。

ANSI C12.22 (c1222) ​

c1222overIPv4.cap.gz (ANSI C12.22) Standard Table 1 的 C12.22 read 及 response。此通信使用 Ciphertext with Authenticaton mode，key 0 = 6624C7E23034E4036FE5CB3A8B5DAB44原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

c1222_over_ipv6.pcap(ANSI C12.22) Standard Tables 1 和 2 的 C12.22 read 及 response。此通信使用 Ciphertext with Authenticaton mode，key 0 = 000102030405060708090A0B0C0D0E0F原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

HDCP ​

hdcp_authentication_sample.pcap原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

DVB receiver 和 handheld device 之间的 HDCP authentication

openSAFETY ​

opensafety_udp_trace.pcap使用 UDP 作为 transport protocol 的 openSAFETY communication原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

opensafety_epl_trace.pcap使用 Ethernet Powerlink V2 作为 transport protocol 的 openSAFETY communication原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

opensafety_sercosiii_trace.pcap使用 SercosIII 作为 transport protocol 的 openSAFETY communication原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

Radio Frequency Identification (RFID), and Near-Field Communication (NFC) ​

Read-FeliCa-Lite-NDEF-Tags.cap来自基于 NXP PN532 chipset 的 USB-connected NFC transceiver 的 trace file，包含成功枚举并读取两个 Sony FeliCa Lite tag 内容时的 packet。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

IEC 60870-5-104 ​

iec104.pcapIEC 60870-5-104 communication log。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

IEC104_SQ.pcapng带 SQ bit 的 IEC 60870-5-104 communication log。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

IEC 61850 9-2 ​

IEC 61850 9-2 Sampled Values、Wireshark 和 “Cloudy” effect

Github: mgadelha/Sampled_Values

SISO-STD-002 ​

Simulation Interoperability Standards Organization SISO-STD-002 Standard for Link 16 Simulation

siso_std_002_annex_b_example.pcap。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

siso_std_002_transmitter.pcap。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

Standard: http://www.sisostds.org/ProductsPublications/Standards/SISOStandards.aspx

STANAG-5602 SIMPLE ​

Standard Interface for Multiple Platform Evaluation

stanag-5602-simple-example.pcap。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

Standard: http://assistdoc1.dla.mil/qsDocDetails.aspx?ident_number=213042

S7COMM - S7 Communication ​

• s7comm_downloading_block_db1.pcaps7comm: 连接并将 program block DB1 下载到 PLC
• s7comm_program_blocklist_onlineview.pcaps7comm: 连接并获取 S7-300 PLC 中所有可用 block 的列表
• s7comm_reading_plc_status.pcaps7comm: 连接并查看 S7-300 PLC status
• s7comm_reading_setting_plc_time.pcaps7comm: 连接、读取并设置 S7-300 PLC 的时间
• s7comm_varservice_libnodavedemo.pcaps7comm: 使用 S7-300 PLC 运行 libnodave demo，使用 variable-services 读取多个不同 area 和 size
• s7comm_varservice_libnodavedemo_bench.pcaps7comm: 使用 S7-300 PLC 运行 libnodave demo benchmark，使用 variable-services 检查 communication capability

• hiqnet_netsetter-soundcraft_session.pcapng.gzhiqnet: Harman NetSetter desktop application 与 Soundcraft Si Compact 16 digital mixing console 之间的 session，读取和写入非常基础的信息。
• hiqnet_visiremote-soundcraft_session.pcapng.gzhiqnet: Soundcraft 的 ViSiRemote iPad application 与 Soundcraft Si Compact 16 digital mixing console 之间的 session，操作不同值。VU-meter stream 不属于此捕获，因为它使用另一个 protocol（UDP on port 3333）。

• djiuav.pcap.gzDJI drone 被管理并发送 video stream。

• hcrt.pcapHCRT protocol 的一些捕获。协议规范可在此处找到：https://github.com/ShepardSiegel/hotline/tree/master/doc。

• tunnel.pcap包含一个 DOF session，测试协议的许多方面，最好使用 display filter "dof" 查看

• 打开 Edit/Preferences。
• 展开 Protocols，选择 DOF。
• 点击 DPS Identity Secrets 上的 “Edit…”。
• 点击 “New”。
• 在 Domain 中添加 ‘[{03}:james.simister@us.panasonic.com]’，不带引号。
• 在 Identity 中添加 ‘[{03}:dt@pan9320.pslcl.com]’。
• 在 Secret 中添加 ‘2BCFE378663EBF2B5C4D8F971175B4767984CC2544EA969FB37799C777CF4C8F’，不带引号。
• 在所有 dialog 中点击 OK。

• dof-small-device.pcapng小型设备与 server 通信的示例。
• dof-short-capture.pcapng两个 node 通信的较大示例。

DOF protocols 的信息可在 https://opendof.org 找到。完整 protocol specification 可在 downloads page 获取。

CBOR (Concise Binary Object Representation) ​

• coap-cbor.pcap这里定义的 CBOR test vector over CoAP：https://github.com/cbor/test-vectors/

radius_localhost.pcapng原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

该文件包含从 localhost 发送到 localhost 的 RADIUS packet，使用 FreeRADIUS Server 和 radtest utility。

packet 描述：| Frame | Description | shared secret | | on server | on client | | 1-4 | user steve authenticating with EAP-MD5，password bad（Access rejected） | testing123 | | 5-8 | user steve authenticating with EAP-MD5，password testing（Access Accepted） | testing123 | | 9-10 | same user, same password, PAP（Access Accepted） | testing123 | | 11-12 | same user/password, CHAP（Access Accepted） | testing123 | | 13-14 | same user, password bad_passsword, PAP（Access Rejected） | testing123 | | 15-17 | client 的 shared secret 错误，server 不应答 | bad_secret | testing123 | | 18-19 | PAP authentication 成功 | bad_secret |

Distributed Interactive Simulation (IEEE 1278) ​

Distributed Interactive Simulation (DIS) 在这里描述。

捕获文件：

• DIS_EntityState_1.pcapng - 基本 EntityState PDU 捕获
• DIS_EntityState_2.pcapng - 另一个基本 EntityState PDU 捕获
• DIS_EnvironmentalProcess.pcapng - EnvironmentalProcessPDU 捕获
• DIS_Signal.pcapng - Signal PDU 捕获
• DIS_signal_and_transmitter.pcapng - Signal 和 Transmitter PDU 捕获

Financial Information eXchange (FIX) ​

使用开源 FIX protocol implementation Fix8（version 1.3.4）的 “f8test” program 生成的捕获文件。

• fix.pcap
• fix-ssl.pcap

• fix-ssl.pcap的 SSL keylog file 应包含：

UserLog ​

userlog 是 H3C device 的 user flow log。

Flow logging 记录用户对 extranet 的访问。device 通过 5-tuple information 对 flow 分类和计算，5-tuple information 包括 source IP address、destination IP address、source port、destination port 和 protocol number，并生成 user flow log。Flow logging 记录 packet 的 5-tuple information 以及收发 byte 数。借助 flow log，administrator 可以跟踪和记录对网络的访问，促进网络的可用性和安全性。

• UserLog.pcap示例抓包文件

• openflow_v1.3_messages.pcapng.gz: OpenFlow v1.3 packet 集合（取自 bug 9283）。

iso8583_messages.tar.gz: ISO8583-1 packet 集合（取自 bug 12244）。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

DNP3 ​

• dnp3_read.pcap; dnp3_select_operate.pcap; dnp3_write.pcap。来源：pcapr.net by bwilkerson。

• curl-packets+syscalls-2016-05-04.pcapng: 运行 curl 下载文件时生成的网络流量和 system call。用 Wireshark 打开。

Linux netlink ​

• netlink.pcap: Linux netlink with rtnetlink (route) 和 Netfilter protocol，在 Ubuntu 14.04.4 QEMU VM 中捕获。还包含带一些 DNS query 的 NFQUEUE 流量。
• netlink-nflog.pcap: Linux netlink embedding rtnetlink 和 NFLOG (Netfilter) protocol。NFLOG packet 包含 HTTP 和 ICMP packet，使用 nf-queue program 作为 listener。
• netlink-conntrack.pcap: Linux netlink，一个 HTTP request 和 DNS query，带 Netfilter（NFQUEUE 和 conntrack）packet。使用 conntrack -E command 作为 listener。
• netlink-ipset.pcap: 执行各种 ipset command 时的 Linux netlink-netfilter 流量。
• nlmon-big.pcap: 在 MIPS（big-endian）device 上捕获的 Linux netlink 流量。

• nflog.pcap: 另一个使用 tcpdump -i nflog:42 捕获的 HTTP 和 ICMP trace（NFLOG encapsulation，不是 netlink）。
• nflog-ebtables.pcapng: 通过 ebtables 的 NFLOG（family NFPROTO_BRIDGE）。包含 ARP、IPv4、IPv6、ICMP、ICMPv6、TCP。

Oracle TNS / SQLnet / OCI / OPI ​

• TNS_Oracle1.pcapTNS 流量样本（日期 Apr 2014）。
• TNS_Oracle2.pcapOracle server 上一批 INSERT INTO（日期 Apr 2009）。
• TNS_Oracle3.pcapOracle server 上一批 SELECT FROM（日期 Apr 2009）。
• TNS_Oracle4.pcapOracle server 在 connection 时 redirect 到 alternate port（日期 Apr 2009）。
• TNS_Oracle5.pcap另一个 TNS 流量样本（日期 Oct 2015）。
• 7_oracle10_2016.pcapngOracle 10 示例（日期 Dec 2016）
• 8_oracle11_2016.pcapngOracle 11 示例（日期 Dec 2016）
• 9_oracle12_2016.pcapngOracle 12 示例（日期 Dec 2016）
• 10_sqldeveloper10_2016.pcapngOracle 10 SQL Developer（日期 Dec 2016）
• 11_sqldeveloper11_2016.pcapngOracle 11 SQL Developer（日期 Dec 2016）
• 12_sqldeveloper12_2016.pcapngOracle 12 SQL Developer（日期 Dec 2016）
• oracle12-example.pcapngOracle 12 示例。

Lawo EmberPlus S101/Glow ​

• s101glow.pcap示例抓包文件

• hp-erm-1.cap简单样本，包含 2 个 ping，一个在 VLAN 10 上 untagged，一个 tagged on VLAN 2010，以及发送 ICMP Echo Request 的 device 端口的 HP ERM result。
• hp-erm-2.cap复杂样本，包含 2 个 ping，一个在 VLAN 10 上 untagged，一个 tagged on VLAN 2010，以及发送 ICMP Echo Request 的 device 端口、第二台 switch 上连接第一台的端口（两个 VLAN 均 tagged）和一个 double-encapsulated sample 的 HP ERM result。

• udp-nm_anon.pcap简单 UDP-NM packet。
• caneth.pcapng简单 CAN-ETH protocol capture。

Valve Software 的 Steam In-Home Streaming Protocol，由 Steam client 和 Steam Link device 使用。

更多信息：

• https://codingrange.com/blog/steam-in-home-streaming-discovery-protocol
• https://codingrange.com/blog/steam-in-home-streaming-control-protocol

• steam-ihs-discovery.pcapServer discovery 和 connection negotiation/authentication

• wisunSimple.pcapng两个几乎相同的 frame，包含 PAN Advertisement Solicit。第一个 frame 有错误（缺少 Header Termination 1），第二个修正了该错误。这用于测试 Wireshark 中的一个变更，旨在为这个确切错误给出更清晰的 warning message。

• nano.pcapNano live network 中的一些流量，包括所有常见 packet 和 block type。
• nano_tcp.pcapNano bootstrap traffic (TCP) 示例。

• uaudp_ipv6.pcap一些通过 ipv6 的流量。对 fc0c::8 进行过滤，并将 frame #17 (closed)（udp port 32513）decode 为 ua/udp protocol。在 source 和 destination port 相同的捕获中，在 protocol preferences 中添加 call server ip address 以允许正确 decoding。
• ua3g_freeseating_ipv6.pcapFreeseating message: ipv6 address（filter ua3g.ip.freeseating.parameter.ipv6）
• ua3g_freeseating_ipv4.pcapFreeseating message: ipv4 address（filter ua3g.ip.freeseating.parameter.ip）

• DICOM_C-ECHO-echoscu.pcap使用 OFFIS DICOM Toolkit 中的 echoscu 生成的成功 C-ECHO request

• etsi-its-cam-unsecured.pcapng非 secured mode 下的 Cooperative Awareness Basic Service (CAM) 样本捕获。协议详情见 ETSI EN 302 637-2。
• etsi-its-denm-unsecured.pcapng非 secured mode 下的 Decentralized Environmental Notification Basic Service (DENM) 样本捕获。协议详情见 ETSI EN 302 637-3。
• etsi-its-cam-secured.pcapngsecured mode 下的 Cooperative Awareness Basic Service (CAM) 样本捕获。
• etsi-its-denm-secured.pcapngsecured mode 下的 Decentralized Environmental Notification Basic Service (DENM) 样本捕获。
• EA_Request.pcapng从 OBU/RSU 到 PKI EA entity 的 Enrollment Authorization request/response。要在 Wireshark 中解密 message exchange，请使用以下 parameter：

• Whole PKI EA certificate hash SHA-256：843BA5DC059A5DD3A6BF81842991608C4CB980456B9DA26F6CC2023B5115003E

参见：

• IEEE 1609.2a-2017 IEEE Standard for Wireless Access in Vehicular Environments—Security Services for Applications and Management Messages
• ETSI TS 102 940 ITS Security; ITS communications security architecture and security management
• ETSI TS 102 941 ITS Security; Trust and Privacy Management
• ETSI TS 103 097 ITS Security; Security header and certificate formats

NetBIOS ​

一个样本 program（传输的数据几乎相同）在 MS-DOS 下使用不同 NetBIOS implementation/driver 运行：

• microsoft_npc_netbios.pcapng NetBEUI（又名 NPC），使用 Microsoft Network Client 3
• novell_eth2_netbios.pcapng NetBIOS over IPX，使用 Ethernet-II 上的 Novell Netware client
• novell_raw_netbios.pcapng NetBIOS over IPX，使用 Ethernet-I raw 上的 Novell Netware client
• novell_llc_netbios.pcapng NetBIOS over IPX，使用 Ethernet-I with LLC 的 Novell Netware client

另一个 NetBIOS 示例：MS-DOS client 与 Windows 98 server 之间通过 NetBEUI 的 SMB：dos_win98_smb_netbeui.pcapng原始 Wiki 页面仅保留了条目文字，未提供可识别的本地下载附件。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

Dynamic Link Exchange Protocol (DLEP) ​

• dlep.pcapRFC8175 中定义的基本 data item

• Asphodel_WMRTCP5135.pcapng来自 wireless module 并通过 receiver 的 streaming data 示例。

请参阅 Protobuf dissector description page，了解如何使用 sample capture file。

• protobuf_udp_addressbook.pcapngProtobuf UDP 示例。
• protobuf_tcp_addressbook.pcapngProtobuf TCP 示例。
• protobuf_udp_addressbook_with_image.pcapng带 image field 的 Protobuf UDP 示例。
• protobuf_udp_addressbook_with_image_ts.pcapng关于 image field 和 google.protobuf.Timestamp field 的 Protobuf UDP 示例。

• msgpack-generated.pcap生成的（synthetic）文件，MessagePack (msgpack) data 被包装在 “Exported PDU” packet 中，并标记每个 packet 演示的内容。

请参阅 gRPC dissector description page，了解如何使用 sample capture file。

• grpc_person_search_protobuf_with_image.pcapnggRPC Person search service 示例，使用 Protobuf 序列化结构化数据。
• grpc_person_search_json_with_image.pcapnggRPC Person search service 示例，使用 JSON 序列化结构化数据。

Gitlab issue，附有 sample。

9361 - AllJoyn protocol dissector

10567 - Improve support for AllJoyn Reliable Datagram Protocol。

Thrift ​

请参阅 Thrift dissector description page，了解如何使用特定 dissector 处理 sample capture file。

• jaeger-compact.pcapThrift Compact Protocol UDP 示例，使用 Jaeger。
• anony-tcp-std.pcap带 packet reassembly 的 Thrift Binary Protocol TCP 示例。

• greb_DSLkeepalive_m.capbonding 的 Keepalive（常规 “Hello”），如 Deutsche Telekom DSL line 上所见（这就是它被封装在 PPP 和 VLAN 7 中的原因）
• notifyLTE.pcapLTE 上的 “Notify”，仅保持 IPv6 prefix fresh
• greb_notifyDSLfail_overLTE.capDSL failure 的 notification
• greb_filterlist.pcapNotify incl. filter list

ADWS (Active Directory Web Services) 依赖 WCF，而 WCF 依赖 [MC-NMF] 和 [MS-NNS]

在这个捕获文件中，第一条 TCP connection 使用 SPNEGO with Kerberos，第二条使用 raw NTLM（没有 SPNEGO）。两者针对的 server 相同，但一个通过 FQDN（因此 Kerberos ticket retrieval 生效），第二个通过 IP。

• wcf_nettcpbinding.pcapng示例抓包文件

参见 NTLMSSP

• NTLM.pcaplibpcap · 展示 NTLM authentication process，基于 WSS 3.0

• With NTLMv1 ESS (Extended Session Security): create_two_tasks_then_enum_RPC_C_AUTHN_LEVEL_PKT_PRIVACY_NTLMv1_ESS__password_clem.pcapng
• With NTLMv2: create_two_tasks_then_enum_RPC_C_AUTHN_LEVEL_PKT_PRIVACY_NTLMv2__password_clem.pcapng

以下两个示例展示 LDAP 和 DRSUAPI MS-RPC traffic，可以通过提供 cleartext “admin” password 解密，如 NTLMSSP 中所述：

• ntlm_ldap.pcapng
• ntlm_rpc.pcapng

Zabbix Protocol ​

• zabbix70-proxy-and-agent.pcapng: Zabbix 7.0.0alpha2，active proxy 正在与 server 通信，active agent 2 正在与 proxy 通信
• zabbix30-proxy-and-agent.pcapng: Zabbix 3.0.32（非常旧的版本！），active proxy 正在与 server 通信，active agent 正在与 proxy 通信

DHCPFO Protocol ​

Dynamic Host Configuration Protocol - Failover

• dhcpfo.pcapng: 两台 Windows Server 2022 DHCP server 正在使用 DHCPFO 相互通信，同时一个 DHCP client 获取并释放其 lease

COTP (ISO 8073) ​

Connection Oriented Transfer Protocol

• COTP_Example.pcapng.gz: 两台计算机在 RFC 1006 之上使用 ISO 8073 packet 交换 message。

Multi-Drop Bus / Internal Communication Protocol

• mdb_cashless_1.pcap: Cashless payment transaction
• mdb_bill_validator.pcap: Bill validator

TPM 2.0 ​

30629ce1: tpm20: Add TPM2.0 dissector

• policy-authorizeNV.pcapTPM2.0 policy sample。

特定文件格式的捕获

• i4b.trace一个 I4B（ISDN for BSD）capture file。

• erf-ethernet-example.erf一个 Endace ERF capture file。
• pcapng-example.pcapng一个 PCAPNG example file，包含来自不同 link-layer type interface 的 packet、file- 和 packet-comment、name resolution block，以及 TLS session keys block。

Wireshark 测试中使用的捕获

这里是 Wireshark 测试期间使用的一些捕获。完整集合在 test/captures source code directory 中。

• c1222_std_example8.pcapANSI C12.22 packet，用于覆盖 bug 9196。
• dhcp-nanosecond.pcap带 nanosecond timing 的 DHCP。
• dhcp.pcapng保存为 pcapng format 的 DHCP。
• dns_port.pcapDNS 运行在非 53 端口上。
• dns+icmp.pcapng.gz保存为 gzipped pcapng format 的 DNS 和 ICMP。
• dvb-ci_UV1_0000.pcapDVB Common Interface (DVB-CI) packet。
• rsasnakeoil2.pcapSSL handshake 和 encrypted payload。

• snakeoil-dtls.pcapDTLS handshake 和 encrypted payload。
• wpa-Induction.pcap.gzWiFi 802.11 WPA traffic。
• wpa-eap-tls.pcap.gzWiFi 802.11 WPA-EAP/Rekey sample。
• segmented_fpm.pcap用于 Lua plugin TCP-based dissector testing 的 FPM 和 Netlink。

讨论

能否有人上传 IKEv1（Phase 1 和 phase 2）以及 IKEv2 Packet？ -- nitin raj

sample 是合适的名字吗，而不是 example？我总是会想到 sampling rate。- Ulf Lamping

在这个上下文中，“sample” 和 “example” 可以互换。我不确定哪个在形式上更正确。- Gerald Combs

把 “sample” 理解为 “take a free sample of our magazine” 中的 sample。Sampling 实际意思是你在特定时间点取样，所以没问题。- Olivier Biot

嗯，还是不确定。按照你的逻辑，Sample 和 Capture 几乎意思相同。但我通常不关心捕获是否从特定时间点的特定网络中采样，我是在寻找示例，想知道某种特定 network traffic 看起来是什么样。我认为这里使用的 sample 只是 example 的缩写，还是我漏掉了什么。- Ulf Lamping

我明白了。也许 “example capture” 比 “sample capture” 或 “capture(d) sample” 更合适。- Olivier Biot

“example sample” 怎么样……每个人都会懂，而且最重要的是，它押韵！😃 - Luis Ontanon

关于附加 sample capture 有什么规则？我是说那些不属于你的。如果它是 “in the wild” 见到的（例如附在 mailing list 或 bug 的 email 中），这是否足够公开，允许某人把它附在这里？- Jeff Morriss

我们是否应该把 mailing list 中的 example capture 添加到这里？在这些情况下，显然它们是作为某个 protocol 的示例捐出的？我想到类似 http://www.wireshark.org/lists/wireshark-dev/200003/msg00078.html 这样的东西 -- ronnie

我也一直在想这个——如果一个 sample example 😃 被发送到 list，它无论是否有意都已经在网上公开，并且可以添加到示例中？——至少如果它显然不是一个（糟糕的）错误的话 -- Anders

对特定捕获的请求 ​

我认为一些 Tor traffic capture 会是很好的补充。也许还可以包括使用不同 pluggable transport 的示例。如果我最终做了，我稍后会上传一些。😃

能否有人添加 Internet Key Exchange (IKE) protocol 或 IKEv2 的捕获？😈

你好，我正在寻找符合 802.1ae 的 MACSec frame 捕获。谢谢 karsten_g@rad.com

能否有人添加 GTP-U V1 message 的捕获，无论捕获的是哪个 interface？

能否有人添加 dnp3 message 的捕获，包括 udp 和 tcp？

能否有人添加 PROFINET 的捕获，比如 PNIO package 和所用 Network 的一些 command（如 device 的 name 和 IP）？非常感谢。

能否有人添加带 AMR audio 的 RTP 捕获。如果它是从 push-to-talk session 捕获的，对我来说就太好了。谢谢。

能否有人添加 DOCSIS cable modem 捕获？谢谢

能否有人添加符合 RFC 2865 和 RFC 2866 的 RADIUS packet capture？

能否有人提供 VoIP 的 wireshark capture？

我需要一个类似前面的捕获：VoIP，但要 international call。（需要检查 university work 的 delay）。谢谢

外面有人有包含以下内容的 pcap file 吗？Citrix ICA traffic、CU-SeeMe Video conference traffic、EIGRP (Enhanced Interior Gateway Routing Protocol) traffic、X-Win remote access、SunRPC traffic、SOCKS traffic、SKYPE traffic、pcAnywhere traffic、NNTP traffic 或 MGCP traffic？？？

能否有人提供 RANAP 的 wireshark capture？

欢迎提供一个 Iu-CS 捕获，其中包含例如 AMR voice call 的 RANAP 和 Iu-UP trace。

我刚刚添加了 Iu-CS capture！！！😃 请查看 UMTS section。-Samba sambasiva.manchili@nexustelecom.com 当你打开它时，可能会显示 IuUP packet 为 UDP stream。在这种情况下，请点击相关 UDP packet，然后从 menuAnalyze--->Decode As RTP(both ports) under Transport tab 选择。如需任何帮助，请随时写信给我。

有人有符合 RFC 2198 (Redundant Audio) 或 RFC 2733 (Generic FEC) encoding 的 RTP 捕获吗？相关 SIP/SDP signaling 更好。

有没有人有包含 “raw” ATM packet 的捕获文件（带 AAL0/AAL5 会很方便）？谢谢 --

Estou desenvolvendo uma ferramenta em C++ que tem como entrada uma mensagem no formato hexadecimal, encapsulada nos protocolos SS7, do tipo: ISUP, INAP e CAP. E como saída um arquivo .cap ou .pcap para ser lido pelo WireShark. Para concluir esse projeto gostaria de ter um exemplo de arquivo de entrada (extensão .cap o .pcap) encapsulado nos protocolos INAP E CAP, pois nos arquivos de exemplo disponiveis só encontrei do protocolo ISUP.

我正在用 C++ 开发一个工具，其输入为 hexadecimal format 的 message，封装在 SS7 protocol 中，类型包括：ISUP、INAP 和 CAP。输出为 .cap或 .pcap 文件，以供 WireShark 读取。为了完成这个项目，我希望有一个封装在 INAP 和 CAP protocol 中的输入文件示例（扩展名 cap pcap），因为在可用示例文件中我只找到了 ISUP protocol 的示例。原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

能否有人添加 UCP capture？尤其是 5x series message，但其他也会有帮助……谢谢

有人有 HDLC traffic 吗，比如 WAN router 之间的？

有人有 Synchronous Ethernet Capture 吗？-RadhaKrishnaarkrishna@alcatel-lucent.com

能否有人添加 TRIP protocol capture (RFC 3219)？

能否有人提供 Cisco wireless accesspoint（任意型号）连接到 controller（通过 LWAPP 或 CAPWAP）的捕获？

有人有 ETHOAM capture 吗？请上传。

下载所有 trace ​

有没有简单方法可以下载所有 trace？如果有，请 email 我。-grant@wildpackets.com

有，

wget -nc -r -H -l 1 --accept=cap,gz,pcap,zip,iptrace,snoop,txt,CAP http://wiki.wireshark.org/SampleCaptures

在 UN*X 或 Cygwin 下 -Phil

太感谢了！-grant@wildpackets.com

这在 wget 1.9.1 下不起作用：

$ wget -nc -r -H -l 1 --accept=cap,gz,pcap,zip,iptrace,snoop,txt,CAP http://wiki.wireshark.org/SampleCaptures --22:19:05-- http://wiki.wireshark.org/SampleCaptures => `wiki.wireshark.org/SampleCaptures' Resolving wiki.wireshark.org... 65.208.228.223 Connecting to wiki.wireshark.org[65.208.228.223]:80... connected. HTTP request sent, awaiting response... 200 OK Length: unspecified [text/html] [ <=> ] 42,305 68.22K/s 22:19:06 (68.12 KB/s) - `wiki.wireshark.org/SampleCaptures' saved [42305] Removing wiki.wireshark.org/SampleCaptures since it should be rejected. FINISHED --22:19:06-- Downloaded: 42,305 bytes in 1 files

-Guy Harris

该死，我不知道为什么这个 wget command 在礼貌请求一些文件时会从 server 得到糟糕的 Forbidden 😉

wget --server-response -r -l 1 --follow-tags=link,a \ --accept=cap,gz,pcap,zip,iptrace,snoop,txt,CAP, \ 'http://wiki.wireshark.org/SampleCaptures'

请有人告诉我……

好吧，这里有个可用（已测试）但，呃，很丑的方法：

lynx -dump 'http://wiki.wireshark.org/SampleCaptures' | \ grep -Eh --only-matching 'http://[^ ]+' | grep AttachFile | \ while read a; do htget $a; done

剪切/粘贴时注意，有些空格会插入到反斜杠之后，bash shell 不喜欢这样。

--Phil

好吧，我在我的 suse 9.3 box 上试了这个，但找不到 htget。快速 google 显示这个工具似乎是 Debian specific。对我们这些 “newbie distribution users” 来说，越来越嫉妒 Debian 看起来很自然……无论如何，我在 http://ftp.cvut.cz/debian/pool/main/h/htget/htget_0.93-1.1woody1.tar.gz 找到了 source code，解压文件后执行 ‘make’、‘make install’（as root），并将 htgetrc 复制到 ~/.htgetrc，就搞定了。非常感谢这个，呃，丑陋但具有不可否认优点——很好用的 skript！

--Eberhard

wget 不起作用的原因是 wiki page 的 html 中有 <meta name="robots" content="index,nofollow">。我们有这个是出于什么原因吗？

--Rich van der Hoff

试试使用 Download Accelerator Plus (DAP)。与 Firefox 集成时，右键 context menu 中有一个名为 “Save all ..” 的选项

-- Razor

Hi 😃

我使用了 htget，但得到了所有这些 Sample.* prefix，你可能想移除它们：

先备份

像这样 rename：

for i in SampleCaptures\?action\=AttachFile* ; do mv "$i" $( echo $i|sed 's/S.* target=//g' ); done

可选，将 NetMon 文件移动到单独目录：

mkdir NetMon; mv `file * |grep NetMon| awk '{ print $1 }'| tr ':' ' ' ` NetMon/

-- netbeisser 😉

wget 得到 “Forbidden” response 是由 link 中的 “do=view” 部分导致的。如果把这部分替换为 “do=get”，导致此错误的这些文件就可以正常获取。建议使用以下 command（还有自动重命名文件的好处，并且不使用那个 hideous htget utility）：

lynx -dump 'http://wiki.wireshark.org/SampleCaptures' |grep -Eh --only-matching 'http://[^ ]+' | grep AttachFile.*target= |sed 's/do=view/do=get/' | sort | uniq |while read i; do wget -O ${i##*=} "$i"; done

-- AVN

wget 遵守 robot meta tag，所以你需要忽略它。'-A' 对我不起作用，可能是因为它不匹配 query part。这个对我有效（wget 1.15）：

wget -e robots=off -nc -r -l 1 --accept-regex='.*do=get.*(p?cap|pcapng)(\.gz)?$' --ignore-case http://wiki.wireshark.org/SampleCaptures?action=AttachFile

上面的 command 会生成诸如 ‘SampleCaptures?...&target=foo.pcap’ 的文件名。要改成 “foo.pcap”，你可以使用以下 command 创建 symlink（好处是你可以再次运行 wget command，它会跳过已有文件）：原始 Wiki 页面未提供可识别的下载附件，请以原始页面和附件状态为准。

mkdir captures && cd captures && ln -s ../wiki.wireshark.org .;find wiki.wireshark.org/ -name '*target=*' | php -r 'while ($line = fgets(STDIN)) { $line = trim($line); symlink($line, urldecode(preg_replace("#.*target=#", "", $line))); }'

截至本文撰写时，有 634 个文件匹配该 filter，总大小为 537 MiB。--Lekensteyn

有人有 Q-in-Q (IEEE 802.1ah) 或 MAC-in-MAC 的 sample trace 吗？如果你把其中任何一个添加到这些 sample 中，希望你能发邮件告诉我 richman30@ix.netcom.com。谢谢。

--LMR

相关 Wireshark Wiki 页面

• Wireshark Wiki 首页Home · 入门与使用
• ACNACN · 全量归档
• BICCBICC · 全量归档
• BitTorrentBitTorrent · 全量归档
• BluetoothBluetooth · 协议参考
• C12.22C12.22 · 全量归档
• DCCPDCCP · 全量归档
• DCT2000DCT2000 · 全量归档
• DNSDNS · 协议参考
• DTLSDTLS · 全量归档
• EPMDEPMD · 全量归档
• ERFERF · 全量归档