У меня есть файл pcap и я хочу, чтобы wireshark показывал мне пакеты с отличным адресом источника. Как я могу сделать это в wireshark?
3 ответа
0
Я предполагаю, что вы ищете источник IPV4, например
ip.src == 192.168.0.200
Подсказка . В режиме просмотра пакетов вы можете щелкнуть правой кнопкой мыши значение и выбрать "Применить как фильтр".
0
Из вашего комментария к ответу EMK кажется, что вы ищете уникальный список IP-адресов источника в файле захвата. При условии, что вы можете достичь этого с помощью tshark следующим образом:
На платформах * nix:
tshark -r capture.pcap -T fields -e ip.src | sort -u
В Windows вам, вероятно, понадобится командный файл для выполнения эквивалента sort -u . Вы, вероятно, можете использовать тот, который представлен здесь и предоставлен ниже:
tshark.exe -r capture.pcap -T fields -e ip.src > uniqinput.txt
sortuniq.bat uniqinput.txt
Пакетный файл:
@echo off
setlocal disabledelayedexpansion
set "prev="
for /f "delims=" %%F in ('sort uniqinput.txt') do (
set "curr=%%F"
setlocal enabledelayedexpansion
if "!prev!" neq "!curr!" echo !curr!
endlocal
set "prev=%%F"
)
0
Используйте вкладку IPv4 в пункте Конечные точки (или беседы) в меню Статистика, чтобы просмотреть список уникальных хостов (или разговоров). Вы также можете отфильтровать свой снимок отсюда, щелкнув правой кнопкой мыши по определенной записи.
