Wireshark Informações Filtro Ajuda

StackOverflow https://stackoverflow.com/questions/855230

  •  21-08-2019
  •  | 
  •  

Pergunta

Eu olhei em todo o líquido para um tutorial sobre como filtrar a coluna informações, mas não consigo encontrar qualquer que faz sentido.

Eu quero filtrar todos os registros onde a coluna de informação contém o texto "in situ-conf", mas não posso descobrir como. Ajuda por favor.

Foi útil?

Solução

Você realmente não pode fazer isso diretamente. A coluna de informação é decodificado com base nas propriedades do pacote, embora, e você pode filtrar estes que terá exatamente o mesmo efeito. A única diferença é que você tem que descobrir o que informações wireshark está usando para criar essa linha de informação, que pode ser não-intuitiva.

Neste exemplo, 'in situ-conf' é um alias de porta para a porta 1490 (grep insitu-conf / etc / serviços) e assim por wireshark está lhe dizendo que este é um pacote de porta remota 51811 a porta local 1490. Assim, , o filtro para caputre aqueles pacotes seria 'porta dst = 1490'.

Em outros casos, pode haver uma linha de informação mais descritiva o qual é derivado a partir de várias propriedades do pacote, incluindo a porta e alguns dos dados - por exemplo, pedidos de HTTP na porta 80 terá uma linha de informação que efectivamente inclui a primeira linha de solicitação HTTP.

Outras dicas

Você está procurando filtros de captura ou filtros de exibição ? É "in situ-conf" um hostname?

Editar:

se parecem com insitu-conf é porta 1490, assim como um filtro simples: 

tcp.port == 1490 || udp.port == 1490

Deve fazer o truque.

Você pode usar o Microsoft Network Monitor para fazer o truque.

Abra o arquivo no Microsoft Network Monitor.
Botão direito do mouse em um item na coluna Descrição en escolha "Adicionar 'Descrição' para exibir Filter" no menu de contexto.
O filtro de exibição é adicionado à Janela de Filtro.
Aperte o botão Aplicar na barra de ferramentas do filtro.

Exemplos: 

Description == "HTTP:Request, GET / "
Description.contains("Request")
Description.contains("insitu-conf")

http://www.lovemytool.com/blog/2011/03/microsoft-network-monitor-34-search-the-description-column-by-joke-snelders.html

http.request.uri corresponde "in situ-conf" também deve funcionar.

Licenciado em: CC-BY-SA com atribuição
Não afiliado a StackOverflow
scroll top