我对wireshark很新,并坚持使用过滤器任务 我有来自某个系统的网络流量和错误消息。我需要跟踪我的一条错误消息的syn包。
对于wireshark,这意味着我需要过滤Syn数据包中的一个特定IP端口组合x.x.x.x:xxxx。
使用tcp.flags.syn == 1作为显示过滤器,我已经能够缩小到仅Syn个数据包,但是找到属于我们看到错误的端口的一个数据包仍然很多我们想跟随。
你能帮帮我吗?
答案 0 :(得分:0)
如果您需要找到有问题的对话,那么仅查看SYN数据包并不是很有帮助 - 通常最好收集有关问题所涉及的IP的信息并对其进行过滤。例如。如果您知道具有IP 192.168.1.1的计算机出现问题,并且您的捕获有大量会话,则可以使用以下过滤器对该IP进行过滤:
ip.addr==192.168.1.1
如果你也知道第4层协议和端口(例如端口1025上的TCP),你可以在IP和端口上进行过滤,如下所示:
ip.addr==192.168.1.1 and tcp.port==1025.
如果您有纯文本协议并且知道错误消息的文本(如果它实际上在数据包中可见,而不仅仅是某些编码的东西),您可以使用" find"选项并搜索字符串(不要忘记将搜索类型设置为"字符串",因为默认值为"显示过滤器")。