Wie filesharshark gefiltert wird, um nur DNS-Anfragen zu sehen, die von meinem Computer gesendet/empfangen werden?

Question

Ich bin neu bei Wireshark und versuche, einfache Abfragen zu schreiben. Um die DNS-Abfragen zu sehen, die nur von meinem Computer gesendet oder empfangen von meinem Computer habe ich versucht, die folgenden:

dns and ip.addr==159.25.78.7 

wo 159.25.78.7 ist meine IP-Adresse. Es sieht so aus, als ob ich es gemacht hätte, wenn ich mir die Filterergebnisse ansehe, aber ich wollte mir das sicher machen. Tut der Filter wirklich das, was ich herausfinden will? Ich bezweifelte ein wenig, weil ich in den Filterergebnissen auch nur 1 anderes Ergebnis sehe, dessen Protokoll ICMP ist und dessen Info sagt "Ziel unerreichbar (Port unerreichbar)".

Kann mir jemand dabei helfen?

Dank

Answer 1

ich durch die Paketerfassung gehen und sehen, ob es irgendwelche Aufzeichnungen, die ich weiß, soll ich, dass die Filter zu validieren sehen werde ordnungsgemäß funktioniert und alle Zweifel zu zerstreuen.

das gesagt ist, versuchen Sie bitte die folgenden Filter und sehen, ob Sie die Einträge erhalten, dass Sie denken, Sie bekommen werden sollten:

dns und ip.dst == 159.25.78.7 oder dns und ip.src = = 159.57.78.7

Answer 2

Anstatt eine DisplayFilter verwenden Sie einen sehr einfachen Capture wie

port 53 

Siehe "Capture nur DNS (Port 53) Verkehr" Beispiel auf der CaptureFilters wiki nutzen könnten.

Answer 3

Verwendung dieser Filter:

(dns.flags.response == 0) and (ip.src == 159.25.78.7) 

was diese Abfrage tut, ist es gibt nur dns queries von Ihrer IP-