Назад | Перейти на главную страницу

Как я могу легко найти конкретный диалог TCP в двух отдельных (и больших) захватах пакетов с помощью wirehark?

Иногда мне нужно сравнивать перехваты пакетов (обычно wirehark или tcpdump), которые собираются с обеих сторон TCP-диалога. Иногда два вовлеченных хоста очень «болтливы», поэтому мне нужно сузить захват до определенного сеанса.

Обычно я делаю это, заглядывая в details столбец wirehark для чего-то знакомого, щелкнув правой кнопкой мыши этот пакет и выбрав Follow TCP Stream. Это все хорошо, но как я могу найти такой же эквивалентный поток в другом захвате пакетов? Поддерживает ли WireShark поиск какого-либо идентификатора потока?

Статистика, разговоры очень похожи на то, что вы хотите, там вы можете сделать "Применить как фильтр" к потокам там.

Если вы знаете номер индекса потока, вы можете вставить его в фильтр: tcp.stream eq 5

Вам следует посетить ask.wireshark.org, где я нашел:

Как Wireshark вычисляет индекс потока TCP?

Как просмотреть списки потоков

Предполагая, что вы используете TCP, исходный порт обычно достаточно уникален для трассировки в известные периоды. Я бы загрузил первый снимок в Wireshark, а затем перешел в File -> Merge чтобы оба конца трассы располагались рядом друг с другом. Убедитесь, что выбран параметр «Объединять пакеты в хронологическом порядке».

Затем найдите один из пакетов, который выглядит интересным. В зависимости от направления, уникальный порт источника или порт назначения, вероятно, будет находиться в диапазоне от 49152 до 65535.

Затем в поле фильтра на главном экране введите tcp.port == 49152, где 49152 - ваш уникальный порт.