Wireshark Informações Filtro Ajuda
Pergunta
Eu olhei em todo o líquido para um tutorial sobre como filtrar a coluna informações, mas não consigo encontrar qualquer que faz sentido.
Eu quero filtrar todos os registros onde a coluna de informação contém o texto "in situ-conf", mas não posso descobrir como. Ajuda por favor.
Solução
Você realmente não pode fazer isso diretamente. A coluna de informação é decodificado com base nas propriedades do pacote, embora, e você pode filtrar estes que terá exatamente o mesmo efeito. A única diferença é que você tem que descobrir o que informações wireshark está usando para criar essa linha de informação, que pode ser não-intuitiva.
Neste exemplo, 'in situ-conf' é um alias de porta para a porta 1490 (grep insitu-conf / etc / serviços) e assim por wireshark está lhe dizendo que este é um pacote de porta remota 51811 a porta local 1490. Assim, , o filtro para caputre aqueles pacotes seria 'porta dst = 1490'.
Em outros casos, pode haver uma linha de informação mais descritiva o qual é derivado a partir de várias propriedades do pacote, incluindo a porta e alguns dos dados - por exemplo, pedidos de HTTP na porta 80 terá uma linha de informação que efectivamente inclui a primeira linha de solicitação HTTP.
Outras dicas
Você está procurando filtros de captura ou filtros de exibição ? É "in situ-conf" um hostname?
Editar:
se parecem com insitu-conf é porta 1490, assim como um filtro simples:
tcp.port == 1490 || udp.port == 1490
Deve fazer o truque.
Você pode usar o Microsoft Network Monitor para fazer o truque.
Abra o arquivo no Microsoft Network Monitor.
Botão direito do mouse em um item na coluna Descrição en escolha "Adicionar 'Descrição' para exibir Filter" no menu de contexto.
O filtro de exibição é adicionado à Janela de Filtro.
Aperte o botão Aplicar na barra de ferramentas do filtro.
Exemplos:
Description == "HTTP:Request, GET / "
Description.contains("Request")
Description.contains("insitu-conf")
http.request.uri
corresponde "in situ-conf" também deve funcionar.