Я стараюсь показывать только пакеты с определенным протоколом, например, показывать только « TCP ».

Необязательно: меня также интересует, как исключить определенные протоколы, например, не показывать SSDP и NBNS.

Но я не могу понять, как это работает, заранее спасибо за любой ответ!

ОБНОВЛЕНИЕ:

Я попытался использовать tcp качестве фильтра, как показано в ссылке на документацию для комментариев, но затем появляются протоколы TLSv1.2, SMB2 и NBSS, а не только TCP.

|источник

2 ответа2

1

Насколько мне известно, вы не можете сделать это с помощью чего-то вроде:

ip.proto != "TLSv1.2"

Если вы нажмете кнопку «Выражение ...» рядом с панелью фильтров, вы сможете получить полный список опций применения фильтров.

Мой подход к фильтрации с помощью Wireshark заключается в том, чтобы фильтровать не только по протоколу, но и по конкретным портам источника / назначения и IP-адресам источника / назначения, которые использует приложение, которое я устраняю. Например, если бы я хотел узнать, успешно ли я подключаюсь к удаленному серверу через TCP-порт 5000, я мог бы сделать несколько вещей:

tcp.port == 5000

Если есть много соединений, использующих этот порт, вы можете продолжить детализацию, добавив целевой IP-адрес и порт:

ip.addr == 192.0.2.1 and tcp.port == 5000

Можете ли вы предоставить мне более подробную информацию о трафике, который вы пытаетесь захватить? Какое приложение вы устраняете? Есть ли конкретный IP-адрес источника / назначения? Есть ли конкретный порт источника / назначения?

|источник
1

Короткий ответ:

tcp && !ssl

(здесь я предполагаю, что у вас открыт какой-то браузер или какой-то сервис, выполняющий ssl-соединения, что обычно происходит в большинстве систем)

TLS в основном SSL. Проверьте здесь для больше.

Я думаю, вы должны лучше понимать TCP.
Здесь вы можете найти список распространенных протоколов, работающих через TCP.

Дополнительные полезные советы:
Создайте новый столбец для исходного порта:
Щелкните правой кнопкой мыши заголовок столбца> «Параметры столбца»> щелкните значок «+» и задайте в качестве имени порт источника и введите «Порт источника».

Таким образом, вы можете увидеть, какой пакет отправляется по TCP и через какой порт.

Вы можете узнать больше о фильтрах отображения здесь.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .