有时,我需要比较从 TCP 对话双方收集的数据包捕获(通常使用 wireshark 或 tcpdump)。有时所涉及的两个主机非常“健谈”,因此我需要将捕获范围缩小到特定会话。
我通常会在detailswireshark 的列中查找熟悉的内容,右键单击该数据包,然后选择Follow TCP Stream。 这一切都很好,但是如何在其他数据包捕获中找到相同的等效流? WireShark 是否支持搜索某种流 ID?
答案1
统计数据、对话看起来与您想要的非常相似,您可以在那里对其中的流执行“应用为过滤器”。
如果您知道流索引号,则可以将其放入过滤器中:tcp.stream eq 5
你应该查看 ask.wireshark.org,我在那里发现了:
答案2
假设您使用的是 TCP,源端口通常足够独特,可以在已知时间段内进行跟踪。我会在 Wireshark 中加载第一个捕获,然后转到File -> Merge以使跟踪的两端并排列出。确保选择“按时间顺序合并数据包”。
然后找到一个看起来有趣的数据包。根据方向,唯一的源端口或目标端口可能在 49152 到 65535 之间。
然后在主屏幕的过滤框中输入tcp.port == 49152,其中 49152 是您的唯一端口。