wireshark 中仅支持第 3 层协议

wireshark 中仅支持第 3 层协议

我有一个简单的问题:

在 wireshark 中,除了第 3 层协议之外,还有什么方法可以避免解析协议?

例如,在协议列中,我希望它显示 TCP 或其值 (6),而不是 http。

我可以在菜单分析/启用协议中看到我们可以逐个禁用,但是对于具有许多不同协议(如“eDonkey”,“QUAKE”等)的非常大的跟踪,这会花费大量时间......

答案1

至少在最新的 wireshark(1.8 左右)中,打开“已启用协议...”对话框后,您只需单击“全部禁用”,然后仅启用所需的少数协议即可。大部分协议如下:

  • SLL - Linux 熟模式捕获 - 这样您就可以读取文件
  • IPv4(或 IPv6)-您的第 2 层协议
  • TCP、UDP、ARP - 第 3 层协议

点击大约六个复选框还不错,不是吗?

答案2

Preferences → Protocols → TCP可以禁用Allow subdissector to reassemble TCP streams,这应该可以实现您想要的。

或者,在 中Enabled Protocols,您可以禁用 TCP 本身,然后您将看到原始 IP 数据包:)

答案3

我发现有一个名为 disabled_protos 的配置文件,您可以在其中放置您不想让 wireshark 解析的协议,反之亦然。

谢谢你们的帮助。

相关内容