%20%E3%83%91%E3%82%B1%E3%83%83%E3%83%88%20%E3%82%AD%E3%83%A3%E3%83%97%E3%83%81%E3%83%A3%E3%81%A7%E7%89%B9%E5%AE%9A%E3%81%AE%20TCP%20%E4%BC%9A%E8%A9%B1%E3%82%92%E7%B0%A1%E5%8D%98%E3%81%AB%E8%A6%8B%E3%81%A4%E3%81%91%E3%82%8B%E3%81%AB%E3%81%AF%E3%81%A9%E3%81%86%E3%81%99%E3%82%8C%E3%81%B0%E3%82%88%E3%81%84%E3%81%A7%E3%81%99%E3%81%8B%3F.png)
時々、TCP 会話の両側から収集されたパケット キャプチャ (通常は wireshark または tcpdump) を比較する必要があります。関係する 2 つのホストが非常に「チャット」が多い場合、キャプチャを特定のセッションのみに絞り込む必要があります。
details通常、Wireshark の列で見覚えのあるものを探し、そのパケットを右クリックして、 を選択することでこれを行いますFollow TCP Stream。 それはすべてうまくいっていますが、他のパケット キャプチャで同じ同等のストリームを見つけるにはどうすればよいですか? WireShark は、何らかのストリーム ID の検索をサポートしていますか?
答え1
統計、会話はあなたが望むものと非常に似ているようです。そこでは、ストリームに「フィルターとして適用」を行うことができます。
ストリームのインデックス番号がわかっている場合は、フィルターに次の番号を入力できます。tcp.stream eq 5
ask.wireshark.org で以下を確認してください。
答え2
TCP を使用している場合、送信元ポートは通常、既知の期間のトレースに十分一意です。最初のキャプチャを Wireshark にロードし、File -> Mergeトレースの両端を並べて表示します。[パケットを時系列でマージする] が選択されていることを確認します。
次に、興味をそそられるパケットを 1 つ見つけます。方向に応じて、一意の送信元ポートまたは宛先ポートは、おそらく 49152 ~ 65535 の間になります。
次に、メイン画面のフィルター ボックスに と入力します。tcp.port == 49152ここで、49152 は固有のポートです。