%20%ED%8C%A8%ED%82%B7%20%EC%BA%A1%EC%B2%98%EC%97%90%EC%84%9C%20%ED%8A%B9%EC%A0%95%20TCP%20%EB%8C%80%ED%99%94%EB%A5%BC%20%EC%89%BD%EA%B2%8C%20%EC%B0%BE%EC%9D%84%20%EC%88%98%20%EC%9E%88%EC%8A%B5%EB%8B%88%EA%B9%8C%3F.png)
때때로 TCP 대화의 양쪽에서 수집된 패킷 캡처(일반적으로 Wireshark 또는 tcpdump)를 비교해야 합니다. 때로는 관련된 두 호스트가 매우 "수다스럽"기 때문에 캡처 범위를 특정 세션으로 좁혀야 합니다.
details일반적으로 Wireshark 열에서 친숙해 보이는 항목을 찾아 해당 패킷을 마우스 오른쪽 버튼으로 클릭하고 를 선택하여 이 작업을 수행합니다 Follow TCP Stream. 다 좋은데 다른 패킷 캡처에서 동일한 동등한 스트림을 어떻게 찾을 수 있습니까? WireShark는 일종의 스트림 ID 검색을 지원합니까?
답변1
통계, 대화는 원하는 것과 매우 유사해 보입니다. 거기서 스트림에 "필터로 적용"을 수행할 수 있습니다.
스트림 인덱스 번호를 알고 있으면 필터에 넣을 수 있습니다.tcp.stream eq 5
내가 찾은 Ask.wireshark.org를 확인해야 합니다.
답변2
TCP를 사용한다고 가정하면 소스 포트는 일반적으로 알려진 기간 동안 추적할 수 있을 만큼 고유합니다. Wireshark에서 첫 번째 캡처를 로드한 다음 으로 이동하여 File -> Merge추적의 양쪽 끝이 서로 옆에 나열되도록 합니다. "시간순으로 패킷 병합"이 선택되어 있는지 확인하십시오.
그런 다음 흥미로워 보이는 패킷 중 하나를 찾으십시오. 방향에 따라 고유한 소스 포트 또는 대상 포트는 49152에서 65535 사이일 수 있습니다.
그런 다음 기본 화면의 필터 상자에 를 입력합니다 tcp.port == 49152. 여기서 49152는 고유 포트입니다.