如何在 Wireshark 中对特定数据包使用 "Follow TCP stream"?
How to use "Follow TCP stream" for specific packets in Wireshark?
我正在尝试在 Wireshark 中构建我的过滤器以过滤掉不需要的数据包。当前过滤器看起来像:
!(http.request.method == POST) && !(http 或框架包含 "aa" || http 或框架包含 "bb") && !(http.response.code == 404 或 http.response.code == 301 或 http.response.code == 302 或 http.response.code == 303)
这意味着:
"显示任何流量,除了:具有 HTTP POST 方法的数据包和有效负载包含字符串 "aa" 或 "bb" 的数据包以及响应代码为 404 或 301 或 302 或 303 的数据包"
从我的角度来看,这个过滤器工作正常,许多数据包都被过滤掉了,我只能看到最重要的数据包。但现在我想对剩余的最重要的数据包使用 "Follow TCP stream"。当我尝试使用 "Follow TCP stream" 选项时,wireshark 正在从整个 pcap 文件中寻找 TCP 流,而不是过滤后最重要的数据包。
总结我不想对过滤掉的数据包做"Follow TCP stream",只对过滤后剩余的数据包做。
我该如何解决这个问题?
"Follow TCP Stream" 只能跟随整个 TCP 连接;它不能仅显示来自该连接的选定数据包的数据。如果您希望能够显示 TCP 连接中部分而非所有数据包的数据,则必须请求将其作为 Wireshark Bugzilla.
的增强功能
作为解决方法,您可以将剩余的数据包保存到一个文件并打开该文件,然后尝试 "Follow TCP Stream" 处理该文件中的数据包。
不幸的是您只能"Follow TCP Stream" 整个 TCP 连接,以及连接中的所有数据包。
对 TCP 流的唯一可用过滤是能够查看 TCP 的特定方向:
- 从 A -> B
- 从 B ->A
可以在 "Follow TCP Stream" 对话框中选择此选项。
我正在尝试在 Wireshark 中构建我的过滤器以过滤掉不需要的数据包。当前过滤器看起来像:
!(http.request.method == POST) && !(http 或框架包含 "aa" || http 或框架包含 "bb") && !(http.response.code == 404 或 http.response.code == 301 或 http.response.code == 302 或 http.response.code == 303)
这意味着: "显示任何流量,除了:具有 HTTP POST 方法的数据包和有效负载包含字符串 "aa" 或 "bb" 的数据包以及响应代码为 404 或 301 或 302 或 303 的数据包"
从我的角度来看,这个过滤器工作正常,许多数据包都被过滤掉了,我只能看到最重要的数据包。但现在我想对剩余的最重要的数据包使用 "Follow TCP stream"。当我尝试使用 "Follow TCP stream" 选项时,wireshark 正在从整个 pcap 文件中寻找 TCP 流,而不是过滤后最重要的数据包。
总结我不想对过滤掉的数据包做"Follow TCP stream",只对过滤后剩余的数据包做。
我该如何解决这个问题?
"Follow TCP Stream" 只能跟随整个 TCP 连接;它不能仅显示来自该连接的选定数据包的数据。如果您希望能够显示 TCP 连接中部分而非所有数据包的数据,则必须请求将其作为 Wireshark Bugzilla.
的增强功能作为解决方法,您可以将剩余的数据包保存到一个文件并打开该文件,然后尝试 "Follow TCP Stream" 处理该文件中的数据包。
不幸的是您只能"Follow TCP Stream" 整个 TCP 连接,以及连接中的所有数据包。
对 TCP 流的唯一可用过滤是能够查看 TCP 的特定方向:
- 从 A -> B
- 从 B ->A
可以在 "Follow TCP Stream" 对话框中选择此选项。