我有一个简单的问题:
在 wireshark 中,除了第 3 层协议之外,还有什么方法可以避免解析协议?
例如,在协议列中,我希望它显示 TCP 或其值 (6),而不是 http。
我可以在菜单分析/启用协议中看到我们可以逐个禁用,但是对于具有许多不同协议(如“eDonkey”,“QUAKE”等)的非常大的跟踪,这会花费大量时间......
答案1
至少在最新的 wireshark(1.8 左右)中,打开“已启用协议...”对话框后,您只需单击“全部禁用”,然后仅启用所需的少数协议即可。大部分协议如下:
- SLL - Linux 熟模式捕获 - 这样您就可以读取文件
- IPv4(或 IPv6)-您的第 2 层协议
- TCP、UDP、ARP - 第 3 层协议
点击大约六个复选框还不错,不是吗?
答案2
您Preferences → Protocols → TCP可以禁用Allow subdissector to reassemble TCP streams,这应该可以实现您想要的。
或者,在 中Enabled Protocols,您可以禁用 TCP 本身,然后您将看到原始 IP 数据包:)
答案3
我发现有一个名为 disabled_protos 的配置文件,您可以在其中放置您不想让 wireshark 解析的协议,反之亦然。
谢谢你们的帮助。