Иногда мне нужно сравнивать перехваты пакетов (обычно wirehark или tcpdump), которые собираются с обеих сторон TCP-диалога. Иногда два вовлеченных хоста очень «болтливы», поэтому мне нужно сузить захват до определенного сеанса.
Обычно я делаю это, заглядывая в details
столбец wirehark для чего-то знакомого, щелкнув правой кнопкой мыши этот пакет и выбрав Follow TCP Stream
. Это все хорошо, но как я могу найти такой же эквивалентный поток в другом захвате пакетов? Поддерживает ли WireShark поиск какого-либо идентификатора потока?
Статистика, разговоры очень похожи на то, что вы хотите, там вы можете сделать "Применить как фильтр" к потокам там.
Если вы знаете номер индекса потока, вы можете вставить его в фильтр: tcp.stream eq 5
Вам следует посетить ask.wireshark.org, где я нашел:
Предполагая, что вы используете TCP, исходный порт обычно достаточно уникален для трассировки в известные периоды. Я бы загрузил первый снимок в Wireshark, а затем перешел в File -> Merge
чтобы оба конца трассы располагались рядом друг с другом. Убедитесь, что выбран параметр «Объединять пакеты в хронологическом порядке».
Затем найдите один из пакетов, который выглядит интересным. В зависимости от направления, уникальный порт источника или порт назначения, вероятно, будет находиться в диапазоне от 49152 до 65535.
Затем в поле фильтра на главном экране введите tcp.port == 49152
, где 49152 - ваш уникальный порт.