1. Zuhause
  2. Frage und Antwort
  3. Wireshark Info Filter Hilfe

Wireshark Info Filter Hilfe

2009-05-12 4 views
7

Ich habe überall im Netz nach einem Tutorial gesucht, wie man die Info-Spalte filtert, kann aber keine finden, die Sinn macht.Wireshark Info Filter Hilfe

Ich möchte alle Protokolle filtern, wo die Info-Spalte den Text "insitu-conf" enthält, aber kann nicht herausfinden, wie. Hilfe bitte.

Quelle

2009-05-12 Ozzy

+0

Ist diese Programmierung zu tun? Sicher scheint es nicht so. –

+0

Wireshark wird, wenn Sie Netzwerkprogrammierung tun. –

Antwort

7

Sie können das eigentlich nicht direkt machen. Die Info-Spalte wird jedoch basierend auf den Eigenschaften des Pakets dekodiert, und Sie können auf diese filtern, die genau denselben Effekt haben. Der einzige Unterschied besteht darin, dass Sie herausfinden müssen, welche Informationen wirshark verwenden, um diese Infozeile zu erstellen, die nicht intuitiv sein kann.

In diesem Beispiel ist "insitu-conf" ein Port-Alias ​​für Port 1490 (grep insitu-conf/etc/services). Wireshark teilt Ihnen mit, dass es sich um ein Paket vom Remote-Port 51811 zum lokalen Port 1490 handelt. Somit wäre der Filter, um diese Pakete zu caputieren, 'dst port = 1490'. In anderen Fällen kann eine deskriptive Infozeile vorhanden sein, die von mehreren Eigenschaften des Pakets abgeleitet ist, einschließlich des Ports und einiger Daten - zum Beispiel haben HTTP-Anfragen auf Port 80 eine Infozeile, die enthält tatsächlich die erste Zeile der http-Anfrage.

Quelle

2009-05-12 22:56:14

+0

Dies ist, was ich für –

+0

gehen würde erklärte dies perfekt für mich ty – Ozzy

+4

Ist dies ein Beispiel für schlechte Anwendung Design? Ich meine, die Daten sind schon da, in den Baumansichtszellen ... Wäre es nicht schön, zwei Arten von Filtern zu haben? eine auf den Protokollen und eine auf den Baumansichtszellen? – ychaouche

0

Suchen Sie nach capture filters oder display filters? Ist "insitu-conf" ein Hostname?

Edit:

Sieht aus wie Insitu-conf ist Port 1490, so ein einfacher Filter wie:

tcp.port == 1490 || udp.port == 1490

sollte es tun.

Quelle

2009-05-12 22:47:20

+0

gut in der Info-Spalte sieht es so aus 51811> insitu-conf [ACK] Seq = 5 und so weiter ... – Ozzy

+0

das half mir auch viel, aber der erste Beitrag näher erläutert. Deshalb gab ich ihm die Antwort, danke – Ozzy

0

http.request.uri Übereinstimmungen "insitu-conf" sollte auch funktionieren.

Quelle

2010-06-01 18:32:34 Steve

0

Sie können Microsoft Network Monitor verwenden, um den Trick zu tun.

Öffnen Sie Ihre Datei in Microsoft Network Monitor.
Klicken Sie mit der rechten Maustaste auf ein Element in der Beschreibungsspalte und wählen Sie im Kontextmenü den Befehl "Beschreibung 'zum Anzeigenfilter hinzufügen".
Der Anzeigefilter wird zum Filterfenster hinzugefügt.
Klicken Sie auf die Schaltfläche Übernehmen in der Filtersymbolleiste.

Beispiele:

Description == "HTTP:Request, GET/" 
Description.contains("Request") 
Description.contains("insitu-conf")

http://www.lovemytool.com/blog/2011/03/microsoft-network-monitor-34-search-the-description-column-by-joke-snelders.html

Quelle

2011-03-10 14:45:44 joke

 Verwandte Themen

  • Keine verwandten Themen^_^