Фильтровать все пакеты, которые не используют определенный порт

Я использую wireshark для просмотра захваченного файла pcap. Я вижу много связи на определенном порту, который мне не интересен, поэтому я хочу отфильтровать его, чтобы увидеть только остальную часть связи.

я использовал это правило фильтрации: tcp.dstport != 1337 and tcp.srcport != 1337 удалить всю tcp-связь через порт 1337. Но, как кажется, это правило также удаляет весь не TCP-трафик. Например, запросы DNS больше не отображаются.
Если я изменю фильтр на (tcp.dstport != 1337 and tcp.srcport != 1337) or ! tcp он показывает весь трафик, кроме порта 1337 / tcp, но он делает не кажется, "правильный" способ сделать это. Использует tcp.dstport или tcp.srcport равно фильтровать только tcp-трафик, а затем фильтровать порт?

27
задан reox
29.11.2022 20:50 Количество просмотров материала 2773
Распечатать страницу

1 ответ

ваш фильтр должен быть:

!(tcp.port == 1337)

объяснение

есть 2 вида фильтров в Wireshark:

  1. фильтра, захват: используется при захвате трафика (duh?) и построенный с синтаксисом Berkeley Packet Filter (BPF) (check manpage of pcap-filter). libpcap является базовой библиотекой, выполняющей фактический захват.

  2. дисплей фильтр: используется для уменьшения объема трафика вы видите и построен с проприетарный синтаксис (некоторые из них перекрываются с BPF).

дисплей фильтр tcp.dstport != 1337 следует читать как "пакет содержит поле с именем TCP.порт со значением, отличным от 1337". В результате пакеты без a tcp.port поле будет отфильтровано.

1
отвечен maiki 2022-12-01 04:38

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Мы используем cookie. Это позволяет нам анализировать взаимодействие посетителей с сайтом и делать его лучше. Продолжая пользоваться сайтом, вы соглашаетесь с использованием файлов cookie. Политика конфиденциальности
Согласен
Вверх