1. Inicio
  2. Pregunta y respuesta
  3. Wireshark Filtro de información Ayuda

Wireshark Filtro de información Ayuda

2009-05-12 18 views
7

He buscado en toda la red un tutorial sobre cómo filtrar la columna de información, pero no puedo encontrar ninguno que tenga sentido.Wireshark Filtro de información Ayuda

Quiero filtrar todos los registros donde la columna de información contiene el texto "insitu-conf" pero no puedo encontrar cómo. Ayuda por favor.

Fuente

2009-05-12 Ozzy

+0

se relaciona esta programación? Claro que no parece ser así. –

+0

Wireshark lo hará si realiza la programación de la red. –

Respuesta

7

En realidad no puede hacer esto directamente. Sin embargo, la columna de información se decodifica en función de las propiedades del paquete, y puede filtrarlas, lo que tendrá exactamente el mismo efecto. La única diferencia es que debes averiguar qué información usa wireshark para crear esa línea de información, que puede no ser intuitiva.

En este ejemplo, 'insitu-conf' es un alias de puerto para el puerto 1490 (grep insitu-conf/etc/services) y así wireshark le dice que se trata de un paquete del puerto remoto 51811 al puerto local 1490. Por lo tanto, el filtro para almacenar esos paquetes sería 'dst port = 1490'.

En otros casos, puede haber una línea de información más descriptiva que se deriva de varias propiedades del paquete, incluido el puerto y parte de los datos; por ejemplo, las solicitudes http en el puerto 80 tendrán una línea de información que en realidad incluye la primera línea de la solicitud http.

Fuente

2009-05-12 22:56:14

+0

Esto es lo que iría por –

+0

Esto lo explicó perfectamente para mí ty – Ozzy

+4

¿Es este un ejemplo de diseño de aplicación deficiente? Quiero decir, la información ya está allí, en las celdas de treeview ... ¿No sería bueno tener como dos tipos de filtros? uno en los protocolos y uno en las celdas treeview? – ychaouche

0

¿Está buscando capture filters o display filters? ¿Es "insitu-conf" un nombre de host?

Editar:

Parece que insitu-conf es el puerto 1490, por lo que un filtro simple como:

tcp.port == 1490 || udp.port == 1490

debe hacer el truco.

Fuente

2009-05-12 22:47:20

+0

bien en la columna de información se ve así 51811> insitu-conf [ACK] Seq = 5 y así sucesivamente ... – Ozzy

+0

esto también me ayudó mucho pero la primera publicación se explica con más detalle. Es por eso que le di la respuesta, gracias – Ozzy

0

http.request.uri coincide con "insitu-conf" también debería funcionar.

Fuente

2010-06-01 18:32:34 Steve

0

Puede usar Microsoft Network Monitor para hacer el truco.

Abra su archivo en Microsoft Network Monitor.
Haga clic con el botón derecho en un elemento de la columna Descripción y elija "Agregar" Descripción "para mostrar el filtro" en el menú contextual.
El filtro de visualización se agrega a la ventana de filtro.
Pulse el botón Aplicar en la barra de herramientas de filtro.

Ejemplos:

Description == "HTTP:Request, GET/" 
Description.contains("Request") 
Description.contains("insitu-conf")

http://www.lovemytool.com/blog/2011/03/microsoft-network-monitor-34-search-the-description-column-by-joke-snelders.html

Fuente

2011-03-10 14:45:44 joke

Cuestiones relacionadas

 Cuestiones relacionadas