Есть ли в Wireshark фильтр для выбора всего пакета «TCP-сегмент повторно собранного PDU»?
1 ответ
0
Введите в поле «Фильтр»: tcp.reassembled_in
Это работает для фильтрации пакетов, которые уже были прочитаны, но не очень хорошо обрабатывает новые пакеты во время оперативного захвата. Я думаю, что это потому, что атрибут "reassembled" недоступен, пока не будут получены все пакеты, участвующие в повторной сборке (это прямой указатель на последний пакет в группе). К тому времени, когда повторная сборка завершена, уже слишком поздно менять решение фильтра не отображать более ранние пакеты.