Estou usando o WireShark para encontrar qualquer sistema apontado para um sistema antigo que estamos desativando e, em vez de mostrar o mesmo IP 1.000 vezes, gostaria de usar um filtro que mostre cada origem de IP apenas uma vez.
Alguém pode me dizer como posso fazer isso?
Agradeço antecipadamente por sua ajuda.
Responder1
Dê uma olhadao menu de estatísticas:
-Conversas
-Pontos finais
- Endereços IP…
Você pode encontrar mais informações emWiki do Wireshark.
Responder2
Isso é muito fácil na linha de comando se você tiver Linux ou cygwin (IP 1.2.3.4 é o sistema antigo):
tshark -nr file.pcap -Tfields -e ip.src -Y "tcp.flags==2 and ip.dst==1.2.3.4" | sort | uniq