私は WireShark を使用して、廃止しようとしている古いシステムを指すシステムを検索していますが、同じ IP を 1,000 回表示するのではなく、各 IP ソースを 1 回だけ表示するフィルターを使用したいと考えています。
どうすればこれを実行できるか誰か教えてもらえますか?
ご協力をよろしくお願いいたします。
答え1
を見てみましょう統計メニュー:
-会話
-エンドポイント
- IPアドレス…
詳細については、Wireshark ウィキ。
答え2
Linux または cygwin をお持ちの場合は、コマンド ラインから簡単に実行できます (IP 1.2.3.4 は古いシステムです)。
tshark -nr file.pcap -Tfields -e ip.src -Y "tcp.flags==2 and ip.dst==1.2.3.4" | sort | uniq