有時,我需要比較從 TCP 會話雙方收集的封包擷取(通常是wireshark 或tcpdump)。有時涉及的兩個主機非常“健談”,因此我需要將捕獲範圍縮小到特定會話。
我通常會透過在detailswireshark列中尋找看起來熟悉的內容,右鍵單擊該資料包並選擇Follow TCP Stream.這一切都很好,但是我如何在其他資料包捕獲中找到相同的等效流? WireShark 是否支援搜尋某種類型的流 ID?
答案1
統計、對話似乎與您想要的非常相似,您可以對其中的流執行「套用為篩選器」。
如果您知道流程索引號,則可以放入篩選器中:tcp.stream eq 5
你應該查看ask.wireshark.org,我在那裡找到了:
答案2
假設您使用 TCP,來源連接埠通常足夠唯一,足以在已知時間段內進行追蹤。我將在 Wireshark 中加載第一個捕獲,然後轉到File -> Merge將跟踪的兩端並排列出。確保選擇“按時間順序合併資料包”。
然後找到一個看起來有趣的資料包。根據方向,唯一來源連接埠或目標連接埠可能在 49152 到 65535 之間。
然後在主畫面的過濾框中輸入tcp.port == 49152,其中 49152 是您的唯一連接埠。