Я использую WireShark для анализа миллионов пакетов. Есть ли фильтр, который будет показывать только те пакеты, которые имеют ошибки?
Под "ошибкой" я подразумеваю ошибку IP (например, неверную контрольную сумму заголовка IP), ошибку TCP (например, неверную контрольную сумму TCP) или ошибку на прикладном уровне (в моем случае, протокол FIX, который анализируется WireShark) ,
Как я могу настроить WireShark, чтобы показывать только ошибочные пакеты?
Единственное понятие, которое Wireshark имеет в качестве универсального понятия "ошибка", - это понятие "экспертная информация" с уровнем серьезности "ошибка" (который является наивысшим уровнем серьезности).
Чтобы найти все пакеты с таким типом элемента "экспертная информация", используйте фильтр отображения
expert.severity == error
в Wireshark 1.10.x и ранее и
_ws.expert.severity == error
в Wireshark 1.12 и позже.
Однако это будет отображать ошибки только в том случае, если диссектор Wireshark для протокола, в котором есть ошибка, имеет код, который ищет соответствующую ошибку и, если он ее обнаруживает, добавляет экспертный информационный элемент для этой ошибки. (Wireshark - тупое программное обеспечение, а не умный сетевой эксперт, способный обнаруживать ошибки, отличные от тех, для которых он был написан).
Пример более конкретных фильтров ошибок:
_ws.expert.group == Malformed
_ws.expert.severity != Ok
_ws.expert.message ~ "A new tcp session is started with the same ports"
Названия групп:
Контрольная сумма, Последовательность, Ответ, Запрос, Декодированный, Повторная сборка, Неправильный, Отладка, Протокол, Безопасность, Комментарий
Уровни серьезности:
Ошибка, Предупреждение, Примечание, Чат, Комментарий, ОК
Сообщения
Можно просмотреть представление содержимого пакета на примере проблемного пакета в разделе анализа в узле Expert Info.
Например, Transmission Control Protocol/[SEQ/ACK analysis]/[TCP Analysis Flags]/[Expert Info]
Это основывается на ответе пользователя 164970