%20usando%20o%20wireshark%3F.png)
Ocasionalmente, precisarei comparar capturas de pacotes (geralmente wireshark ou tcpdump) coletadas de ambos os lados de uma conversa TCP. Às vezes, os dois hosts envolvidos são muito "conversadores", então precisarei restringir a captura a apenas uma sessão específica.
Normalmente farei isso procurando na detailscoluna do wireshark algo que pareça familiar, clicando com o botão direito do mouse no pacote e selecionando Follow TCP Stream. Está tudo muito bem, mas como posso encontrar o mesmo fluxo equivalente na outra captura de pacotes? O WireShark suporta a busca por algum tipo de ID de fluxo?
Responder1
Estatísticas, Conversas parecem muito semelhantes ao que você deseja, aí você pode fazer "Aplicar como filtro" aos streams ali contidos.
Se você souber o número do índice do stream, poderá colocar no filtro:tcp.stream eq 5
Você deve verificar ask.wireshark.org onde encontrei:
Responder2
Supondo que você esteja usando TCP, a porta de origem geralmente é exclusiva o suficiente para rastreamento em períodos conhecidos. Eu carregaria a primeira captura no Wireshark e, em seguida, iria File -> Mergepara que ambas as extremidades do rastreamento fossem listadas uma ao lado da outra. Certifique-se de que "Mesclar pacotes cronologicamente" esteja selecionado.
Em seguida, encontre um dos pacotes que pareça interessante. Dependendo da direção, a porta de origem ou porta de destino exclusiva provavelmente estará entre 49152 e 65535.
Em seguida, na caixa de filtro da tela principal, digite tcp.port == 49152, onde 49152 é sua porta exclusiva.