5

Я использую WireShark для анализа миллионов пакетов. Есть ли фильтр, который будет показывать только те пакеты, которые имеют ошибки?

Под "ошибкой" я подразумеваю ошибку IP (например, неверную контрольную сумму заголовка IP), ошибку TCP (например, неверную контрольную сумму TCP) или ошибку на прикладном уровне (в моем случае, протокол FIX, который анализируется WireShark) ,

Как я могу настроить WireShark, чтобы показывать только ошибочные пакеты?

2 ответа2

7

Единственное понятие, которое Wireshark имеет в качестве универсального понятия "ошибка", - это понятие "экспертная информация" с уровнем серьезности "ошибка" (который является наивысшим уровнем серьезности).

Чтобы найти все пакеты с таким типом элемента "экспертная информация", используйте фильтр отображения

expert.severity == error

в Wireshark 1.10.x и ранее и

_ws.expert.severity == error

в Wireshark 1.12 и позже.

Однако это будет отображать ошибки только в том случае, если диссектор Wireshark для протокола, в котором есть ошибка, имеет код, который ищет соответствующую ошибку и, если он ее обнаруживает, добавляет экспертный информационный элемент для этой ошибки. (Wireshark - тупое программное обеспечение, а не умный сетевой эксперт, способный обнаруживать ошибки, отличные от тех, для которых он был написан).

1

Пример более конкретных фильтров ошибок:

_ws.expert.group == Malformed
_ws.expert.severity != Ok
_ws.expert.message ~ "A new tcp session is started with the same ports"
  1. Названия групп:

    Контрольная сумма, Последовательность, Ответ, Запрос, Декодированный, Повторная сборка, Неправильный, Отладка, Протокол, Безопасность, Комментарий

  2. Уровни серьезности:

    Ошибка, Предупреждение, Примечание, Чат, Комментарий, ОК

  3. Сообщения

    Можно просмотреть представление содержимого пакета на примере проблемного пакета в разделе анализа в узле Expert Info. Например, Transmission Control Protocol/[SEQ/ACK analysis]/[TCP Analysis Flags]/[Expert Info]

Это основывается на ответе пользователя 164970

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .