Есть ли фильтр отображения wirehark, который будет находить эхо-запросы ICMP, на которые нет ответа?
В Wireshark вы можете использовать плагин MATE для достижения этой функциональности. Я только что протестировал последнюю версию (1.6.0), и она включена в установочный пакет по умолчанию.
Сначала создайте текстовый файл для размещения следующей конфигурации для MATE:
Pdu ping_pdu Proto icmp Transport ip {
Extract addr From ip.addr;
Extract icmp_type From icmp.type;
Extract icmp_seq From icmp.seq;
};
Gop ping_pair On ping_pdu Match (addr, addr, icmp_seq) {
Start (icmp_type=8);
Stop (icmp_type=0);
};
В Wireshark перейдите в «Настройки» и найдите MATE в списке протоколов. У него есть один параметр конфигурации - расположение файла конфигурации. Направьте его туда, где вы когда-либо сохраняли созданный вами файл с указанным выше содержимым.
На этом этапе вы можете перезапустить Wireshark и убедиться, что MATE правильно анализирует конфигурацию.
Теперь вы можете открыть захват, и все запросы и ответы ping должны содержать немного дополнительных данных с заголовком «MATE» на панели сведений. Каждый «ping_pdu» сгруппирован со своим аналогом как «ping_pair».
Теперь примените следующий фильтр:
mate.ping_pair.NumOfPdus==1
Это выделит "ping_pairs", у которых есть только 1 член (т.е. запрос без ответа).