Я использую WireShark для поиска любых систем, указывающих на старую систему, которую мы выводим из эксплуатации, и вместо того, чтобы показывать один и тот же IP-адрес 1000 раз, я бы хотел использовать фильтр, который будет отображать каждый IP-источник только один раз.
Может кто-нибудь сказать мне, как я могу это сделать?
Заранее спасибо за вашу помощь.
Взгляни на меню статистики:
- Разговоры
- Конечные точки
- IP-адреса…
Вы можете найти больше информации в Wireshark вики.
Это очень просто из командной строки, если у вас Linux или Cygwin (IP 1.2.3.4 - старая система):
tshark -nr file.pcap -Tfields -e ip.src -Y "tcp.flags==2 and ip.dst==1.2.3.4" | sort | uniq