我正在尝试在Wireshark中创建一个过滤器,它将获取所有返回“Error:STATUS_NO_SUCH_FILE”的SMB响应。我也希望能够在过滤之前抓取数据包。这是一个例子:
No. Time Source Destination Proto. Length Info
26482 24.832997 192.168.1.62 192.168.1.4 SMB 288 Trans2 Request, QUERY_PATH_INFO, Query File Basic Info, Path: \1_CLIENTS\CLIENTS\ACME INC
26483 24.833122 192.168.1.4 192.168.1.62 SMB 158 Trans2 Response, QUERY_PATH_INFO
26484 24.833232 192.168.1.62 192.168.1.4 SMB 306 Trans2 Request, FIND_FIRST2, Pattern: \1_CLIENTS\CLIENTS\ACME INC\<.AC_
26485 24.833909 192.168.1.4 192.168.1.62 SMB 126 Trans2 Response, FIND_FIRST2, Error: STATUS_NO_SUCH_FILE
以下过滤器抓取“STATUS_NO_SUCH_FILE”数据包:
((ip.src == 192.168.1.4) && (ip.dst == 192.168.1.62)) || ((ip.src == 192.168.1.62) && (ip.dst == 192.168.1.4)) && (smb.nt_status == 0xC000000F)
但是我也希望得到那个之前的数据包,所以我知道找不到哪个文件路径。
答案 0 :(得分:0)
您可以使用Wireshark发行版的一部分TShark来概述
运行以下命令:
$ tshark -r FS01-Test.pcap -R smb.nt_status == 0xc000000f -T fields -e frame.number -e smb.nt_status -e smb.response_to -E header = y -E separator =,&gt; smb.csv
输出:
frame.number,smb.nt_status,smb.response_to
6242,0xc000000f,6238
6247,0xc000000f,6246
6331,0xc000000f,6269
6338,0xc000000f,6336
另一个例子:
$ tshark -r FS01-Test.pcap -R smb.nt_status == 0xc000000f -T fields -e frame.number -e smb.nt_status -e smb.response_to -e smb.search_pattern -E header = y -E separator =, &GT; smb02.csv
输出:
frame.number,smb.nt_status,smb.response_to,smb.search_pattern
6242,0xc000000f,6238,\\乙\\迪\\ folder.jpg
6247,0xc000000f,6246,\\乙\\迪\\创建的Folder.gif
6331,0xc000000f,6269,\\乙\\例\\ folder.jpg
6338,0xc000000f,6336,\\乙\\例\\创建的Folder.gif