%20Paketerfassungen%20lokalisieren%3F.png)
Gelegentlich muss ich Paketaufzeichnungen (normalerweise Wireshark oder TCPdump) vergleichen, die von beiden Seiten einer TCP-Konversation gesammelt wurden. Manchmal sind die beiden beteiligten Hosts sehr „gesprächig“, sodass ich die Aufzeichnung auf nur eine bestimmte Sitzung eingrenzen muss.
Normalerweise mache ich das, indem ich in der detailsSpalte von Wireshark nach etwas suche, das mir bekannt vorkommt, mit der rechten Maustaste auf das Paket klicke und auswähle Follow TCP Stream. Das ist alles schön und gut, aber wie kann ich den gleichen äquivalenten Stream in der anderen Paketerfassung finden? Unterstützt WireShark die Suche nach einer Stream-ID irgendeiner Art?
Antwort1
„Statistiken, Unterhaltungen“ scheint dem, was Sie möchten, sehr ähnlich zu sein. Dort können Sie die Funktion „Als Filter anwenden“ auf die darin enthaltenen Streams anwenden.
Wenn Sie die Stream-Indexnummer kennen, können Sie Folgendes in den Filter eingeben:tcp.stream eq 5
Sie sollten sich ask.wireshark.org ansehen, wo ich Folgendes gefunden habe:
Antwort2
Vorausgesetzt, Sie verwenden TCP, ist der Quellport normalerweise eindeutig genug, um in bekannten Zeiträumen verfolgt zu werden. Ich würde die erste Aufnahme in Wireshark laden und dann zu gehen, File -> Mergeum beide Enden der Verfolgung nebeneinander aufzulisten. Stellen Sie sicher, dass „Pakete chronologisch zusammenführen“ ausgewählt ist.
Suchen Sie dann eines der Pakete, das interessant aussieht. Je nach Richtung liegt der eindeutige Quell- oder Zielport wahrscheinlich zwischen 49152 und 65535.
Geben Sie dann in das Filterfeld auf dem Hauptbildschirm ein, tcp.port == 49152wobei 49152 Ihr eindeutiger Port ist.