我正在使用wireshark版本1.6.4。我对wireshark中的流号有以下问题:
1)为什么tcp流使用数字而udp流不使用? (当我做“跟随tcp流”时,它显示说“tcp.stream eq 2”但是当我“跟随udp流”时它不一样
2)我去谈话,我想在一个单独的pcap文件中保存一些选定的流(tcp或udp或两者)。我想使用一些过滤器(tcp.stream eq 4 || tcp.stream eq 2 || udp.stream eq 1)如果我想在一个单独的pcap文件中保存这两个流和一个udp流的2个tcp流。现在这个方法的问题是对话窗口没有显示流没有&进一步的udp流没有流no。此外,我需要首先进入对话窗口,看看哪个tcp流要保存(假设我想保存一些具有最大字节交换的流),然后选择该流以查看其流数等,以及其他流也是如此。这非常不方便且耗时。有没有更好的方法来做到这一点。
任何帮助将不胜感激。非常感谢。
答案 0 :(得分:3)
2个对话窗口
- 右键单击tcp或udp流,然后选择“准备过滤器”| “选中”| “A< - > B”
您可以在Filter Toolbar中看到显示过滤器
- 右键单击另一个tcp或udp流,然后选择“Prepare as Filter”| “......或选择”| “A< - > B”
- 右键单击最后一个tcp或udp流,然后选择“Apply as Filter”| “......或选择”| “A< - > B”
接下来,您可以将这3个流保存在单独的捕获文件中。