%20%D0%BF%D0%B5%D1%80%D0%B5%D1%85%D0%B2%D0%B0%D1%87%D0%B5%D0%BD%D0%BD%D1%8B%D1%85%20%D0%BF%D0%B0%D0%BA%D0%B5%D1%82%D0%B0%D1%85%20%D1%81%20%D0%BF%D0%BE%D0%BC%D0%BE%D1%89%D1%8C%D1%8E%20Wireshark%3F.png)
Иногда мне нужно будет сравнить пакетные захваты (обычно wireshark или tcpdump), собранные с обеих сторон TCP-диалога. Иногда два вовлеченных хоста очень «болтливы», поэтому мне нужно будет сузить захват до определенного сеанса.
Обычно я делаю это, просматривая столбец detailsWireshark на предмет чего-то знакомого, нажимая правой кнопкой мыши на этом пакете и выбирая Follow TCP Stream. Это все хорошо, но как мне найти тот же эквивалентный поток в другом захвате пакета? Поддерживает ли WireShark поиск идентификатора потока какого-либо рода?
решение1
Статистика, разговоры кажутся очень похожими на то, что вам нужно, там вы можете применить «Применить как фильтр» к потокам.
Если вы знаете индекс потока, вы можете ввести фильтр:tcp.stream eq 5
Вам стоит зайти на ask.wireshark.org, где я нашел:
решение2
Если вы используете TCP, исходный порт обычно достаточно уникален для трассировки в известные периоды. Я бы загрузил первый захват в Wireshark, а затем перешел бы к , File -> Mergeчтобы оба конца трассировки были перечислены рядом друг с другом. Убедитесь, что выбрано «Объединить пакеты в хронологическом порядке».
Затем найдите один из пакетов, который выглядит интересным. В зависимости от направления, уникальный порт источника или назначения, вероятно, будет между 49152 и 65535.
Затем в поле фильтра на главном экране введите tcp.port == 49152, где 49152 — ваш уникальный порт.