我对 wireshark 还很陌生,并且坚持执行过滤任务。
我有来自某个系统的网络流量和错误消息。我需要跟踪我的一条错误消息的同步数据包。
对于wireshark,这意味着我需要在Syn 数据包中过滤一个特定的IP 端口组合x.x.x.x:xxxx。
使用tcp.flags.syn == 1 作为显示过滤器,我已经能够将范围缩小到仅Syn 数据包,但是对于许多人来说,找到属于我们看到错误并且我们想要的端口的一个数据包仍然很遥远跟随。
你能帮我解决这个问题吗?
【问题讨论】:
标签: networking filter tcpdump
如果您需要查找有问题的对话,则仅查看 SYN 数据包不是很有帮助 - 通常最好尽可能多地收集有关问题所涉及的 IP 的信息并对其进行过滤。例如。如果您知道 IP 为 192.168.1.1 的计算机有问题,并且您的捕获有大量对话,您可以使用以下过滤器过滤该 IP:
ip.addr==192.168.1.1
如果您还知道第 4 层协议和端口(例如端口 1025 上的 TCP),您可以过滤 IP 和端口,如下所示:
ip.addr==192.168.1.1 and tcp.port==1025.
如果您有纯文本协议并且知道错误消息的文本(如果它实际上在数据包中可见,而不仅仅是一些编码的东西),您可以使用“查找”选项并搜索字符串 (不要忘记将搜索类型设置为“字符串”,因为默认是“显示过滤器”)。
【讨论】: