Wireshark 정보 필터 도움말

Question

정보 열을 필터링하는 방법에 대한 튜토리얼을 인터넷 전체에서 살펴봤지만 의미가 있는 항목을 찾을 수 없습니다.

정보 열에 "insitu-conf"라는 텍스트가 포함된 모든 로그를 필터링하고 싶지만 방법을 찾을 수 없습니다.도와주세요.

Answer 1

실제로 이 작업을 직접 수행할 수는 없습니다.정보 열은 패킷의 속성을 기반으로 디코딩되며 정확히 동일한 효과를 갖는 이를 필터링할 수 있습니다.유일한 차이점은 Wireshark가 해당 정보 라인을 생성하기 위해 어떤 정보를 사용하는지 파악해야 한다는 것인데, 이는 직관적이지 않을 수 있습니다.

이 예에서 'insitu-conf'는 포트 1490(grep insitu-conf /etc/services)에 대한 포트 별칭이므로 Wireshark는 이것이 원격 포트 51811에서 로컬 포트 ​​1490으로의 패킷임을 알려줍니다.따라서 해당 패킷을 캡처하는 필터는 'dst port=1490'이 됩니다.

다른 경우에는 포트 및 일부 데이터를 포함하여 패킷의 여러 속성에서 파생된 보다 설명적인 정보 라인이 있을 수 있습니다. 예를 들어 포트 80에 대한 http 요청에는 실제로 첫 번째 속성을 포함하는 정보 라인이 있습니다. http 요청 라인.

Answer 2

를 찾습니까 필터를 캡처합니다 또는 디스플레이 필터? "insitu-conf"가 호스트 이름입니까?

편집하다:

Insitu-Conf는 포트 1490 인 것처럼 보이므로 간단한 필터는 다음과 같습니다.

tcp.port == 1490 || udp.port == 1490

트릭을해야합니다.

Answer 3

Microsoft 네트워크 모니터를 사용하여 트릭을 수행 할 수 있습니다.

Microsoft Network Monitor에서 파일을 엽니 다.
설명 열에서 항목을 마우스 오른쪽 버튼으로 클릭하십시오.
디스플레이 필터가 필터 창에 추가됩니다.
필터 도구 모음에서 적용 버튼을 누르십시오.

예 :

Description == "HTTP:Request, GET / "
Description.contains("Request")
Description.contains("insitu-conf")

http://www.lovemytool.com/blog/2011/03/microsoft-network-monitor-34-search-the-description-column-by-joke-snelders.html

Answer 4

http.request.uri "Insitu-Conf"도 일치해야합니다.