我正在尝试在Wireshark中构建我的过滤器来过滤掉不需要的数据包。目前过滤器看起来像:
!(http.request.method == POST)&& !(http或帧包含“aa”|| http或帧包含“bb”)&& !(http.response.code == 404或http.response.code == 301或http.response.code == 302或http.response.code == 303)
表示: “显示任何流量,除了:带有HTTP POST方法的数据包和带有效负载的数据包包含字符串”aa“或”bb“以及响应代码为404或301或302或303的数据包”
从我的观点来看,这个过滤器工作正常,许多数据包被过滤掉了,我只能看到最重要的数据包。但是现在我想在剩下的最重要的数据包上使用“Follow TCP stream”。当我尝试使用“Follow TCP stream”选项时,wireshark正在寻找来自整个pcap文件的TCP流,而不是过滤后最重要的数据包。
总结我不希望对过滤后的数据包执行“跟踪TCP流”,仅针对过滤后的剩余数据包。
我如何解决这个问题?
答案 0 :(得分:0)
"关注TCP Stream"只能跟随整个TCP连接;它不能仅显示来自该连接的选定数据包的数据。如果您希望能够在TCP连接中显示来自某些但不是所有数据包的数据,则必须将其作为Wireshark Bugzilla的增强功能请求。
作为一种解决方法,您可以将剩余的数据包保存到文件并打开该文件,然后尝试"关注TCP流"在该文件中的数据包。
答案 1 :(得分:0)
不幸的是您只能“跟随TCP流”整个TCP连接,包含来自连接的所有数据包。
TCP Stream上唯一可用的过滤是能够查看TCP的特定方向:
可以在“Follow TCP Stream”对话框中选择此选项。