У меня простой вопрос:
Есть ли способ в wirehark избежать разрешения протокола помимо протокола уровня 3?
Например, в протоколе столбца вместо отображения http я хочу, чтобы он отображал TCP или его значение (6).
Я вижу в меню анализировать / включать протоколы, которые мы можем отключить один за другим, но для очень больших трассировок с множеством различных протоколов, таких как "eDonkey", "QUAKE" и т. Д., Это требует много времени ...
В последней версии wirehark (1.8 или около того) после открытия диалогового окна «Включенные протоколы ...» вы можете просто щелкнуть «Отключить все», а затем включить только несколько протоколов, которые вам нужны. В основном это будут:
Нажатие примерно на шесть флажков - это неплохо, не так ли?
В Preferences → Protocols → TCP вы можете отключить Allow subdissector to reassemble TCP streams, который должен достичь того, чего вы хотите.
Или в Enabled Protocols, вы можете отключить сам TCP, и вам будут представлены необработанные IP-пакеты :)
Я обнаружил, что есть файл конфигурации с именем disabled_protos, в котором вы можете просто указать протоколы, которые не должны разрешать wirehark, или наоборот.
Спасибо за помощь ребята.