Hilfe zum Wireshark-Infofilter

StackOverflow https://stackoverflow.com/questions/855230

  •  21-08-2019
  •  | 
  •  

Frage

Ich habe im Internet nach einer Anleitung zum Filtern der Infospalte gesucht, aber keine sinnvolle Anleitung gefunden.

Ich möchte alle Protokolle filtern, bei denen die Infospalte den Text „insitu-conf“ enthält, kann aber nicht herausfinden, wie.Hilfe bitte.

War es hilfreich?

Lösung

Das kann man eigentlich nicht direkt machen.Die Infospalte wird jedoch basierend auf den Eigenschaften des Pakets dekodiert, und Sie können nach diesen filtern, was genau den gleichen Effekt hat.Der einzige Unterschied besteht darin, dass Sie herausfinden müssen, welche Informationen Wireshark zum Erstellen dieser Infozeile verwendet, was möglicherweise nicht intuitiv ist.

In diesem Beispiel ist „insitu-conf“ ein Port-Alias ​​für Port 1490 (grep insitu-conf /etc/services) und wireshark teilt Ihnen daher mit, dass es sich um ein Paket vom Remote-Port 51811 zum lokalen Port 1490 handelt.Daher wäre der Filter zum Erfassen dieser Pakete „dst port=1490“.

In anderen Fällen kann es eine aussagekräftigere Infozeile geben, die von mehreren Eigenschaften des Pakets abgeleitet wird, einschließlich des Ports und einiger Daten – zum Beispiel haben http-Anfragen an Port 80 eine Infozeile, die tatsächlich die erste enthält Zeile der http-Anfrage.

Andere Tipps

Suchen Sie Capture-Filter oder Anzeigefilter ? Ist "Insitu-conf" ein Hostname?

Edit:

Sieht aus wie Insitu-conf ist Port 1490, so ein einfacher Filter wie: 

tcp.port == 1490 || udp.port == 1490

Sollte es tun.

Sie können Microsoft Network Monitor verwenden den Trick zu tun.

Öffnen Sie die Datei in Microsoft Network Monitor.
Mit Rechtsklick auf einen Eintrag in der Spalte Beschreibung en wählen „Hinzufügen‚Beschreibung‘Filter, um“ aus dem Kontextmenü.
Das Display Filter ist mit dem Filter-Fenster hinzugefügt.
Drücken Sie die Schaltfläche Übernehmen auf der Filterleiste.

Beispiele: 

Description == "HTTP:Request, GET / "
Description.contains("Request")
Description.contains("insitu-conf")

http://www.lovemytool.com/blog/2011/03/microsoft-network-monitor-34-search-the-description-column-by-joke-snelders.html

http.request.uri entspricht "Insitu-conf" sollte auch funktionieren.

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top