当打开wireshark会话列表时(统计 - >会话列表),Wireshark显示一列“包A-> B”和一列“包B-> A”。当我在交通的一侧(物理上)嗅探时,我可以看到大约一半的mac地址仅在“A-> B”上有流量,而在“B-> A”上没有,而另一半是换句话说,这是有道理的,因为我在谈话的一边嗤之以鼻。
问题是:wireshark如何决定将哪个地址称为“A方”以及将哪个地址称为“B方”?从我上面描述的内容很容易看出,它不依赖于哪一方发送了更多数据包/发送了第一个数据包,而且我发现很难相信它是由randomally决定的。
任何帮助将不胜感激。
答案 0 :(得分:0)
查看the code that fills this list (ui/gtk/conversations_table.c:1726):
gtk_list_store_insert_with_values(store, &iter, G_MAXINT,
CONV_COLUMN_SRC_ADDR, src_addr,
CONV_COLUMN_SRC_PORT, src_port,
CONV_COLUMN_DST_ADDR, dst_addr,
CONV_COLUMN_DST_PORT, dst_port,
CONV_COLUMN_PACKETS, conv_item->tx_frames+conv_item->rx_frames,
CONV_COLUMN_BYTES, conv_item->tx_bytes+conv_item->rx_bytes,
CONV_COLUMN_PKT_AB, conv_item->tx_frames,
CONV_COLUMN_BYTES_AB, conv_item->tx_bytes,
CONV_COLUMN_PKT_BA, conv_item->rx_frames,
CONV_COLUMN_BYTES_BA, conv_item->rx_bytes,
CONV_COLUMN_START, start_time,
CONV_COLUMN_DURATION, duration,
CONV_COLUMN_BPS_AB, tx_ptr,
CONV_COLUMN_BPS_BA, rx_ptr,
CONV_INDEX_COLUMN, idx,
-1);
...我们可以在内部看到,他们不使用“地址A”和“地址B” - 它是数据包的“源”和“目的地”地址。您还可以看到“A→B”列将显示TX(即传输,传出)计数,而“B→A”列显示RX(即接收,传入)计数。