%20usando%20Wirehark%3F.png)
Ocasionalmente, necesitaré comparar capturas de paquetes (generalmente Wireshark o tcpdump) que se recopilan de ambos lados de una conversación TCP. A veces, los dos anfitriones involucrados son muy "conversadores", por lo que tendré que limitar la captura a solo una sesión específica.
Por lo general, hago esto buscando en la detailscolumna de Wireshark algo que me parezca familiar, haciendo clic derecho en ese paquete y seleccionando Follow TCP Stream. Eso está muy bien, pero ¿cómo puedo encontrar el mismo flujo equivalente en la otra captura de paquetes? ¿WireShark admite la búsqueda de algún tipo de ID de transmisión?
Respuesta1
Estadísticas y Conversaciones parecen muy similares a lo que desea, allí puede hacer "Aplicar como filtro" a las transmisiones allí.
Si conoce el número de índice de la transmisión, puede ingresar el filtro:tcp.stream eq 5
Deberías consultar Ask.wireshark.org donde encontré:
Respuesta2
Suponiendo que esté utilizando TCP, el puerto de origen suele ser lo suficientemente único como para realizar un seguimiento en períodos conocidos. Cargaría la primera captura en Wireshark y luego iría a File -> Mergepara que ambos extremos del seguimiento aparezcan uno al lado del otro. Asegúrese de que esté seleccionado "Fusionar paquetes cronológicamente".
Luego busque uno de los paquetes que parezca interesante. Dependiendo de la dirección, el puerto de origen único o el puerto de destino probablemente estará entre 49152 y 65535.
Luego, en el cuadro de filtro de la pantalla principal, escriba tcp.port == 49152, donde 49152 es su puerto único.