Wireshark: как фильтровать для определенного пакета SYN

Question

Я довольно новичок в wirehark и застревает с задачей фильтра.
У меня есть сетевой трафик и сообщение об ошибке из определенной системы. Мне нужно проследить пакет sync одного из моих сообщений об ошибке.

Для wirehark это означает, что мне нужно отфильтровать одну специальную комбинацию ip-портов x.x.x.x:xxxx среди пакетов Syn.

С tcp.flags.syn == 1 в качестве дисплея фильтра я смог сузить только Syn пакетов, но это еще далеко не многим, чтобы найти один пакет, принадлежащий к порту, где мы видим ошибку, и что мы хотели бы следовать.

Можете ли вы мне помочь?

Answer 1

Поиск только в пакетах SYN не очень помогает, если вам нужно найти разговор с проблемами - обычно лучше собрать как можно больше информации об IP-адресах, связанных с проблемой, и фильтровать их. Например. если вы знаете, что компьютер с 192.168.1.1 IP имеют проблемы, и ваш захват имеет массу разговоров, вы можете фильтровать по этому IP, используя следующий фильтр:

ip.addr==192.168.1.1 

Если вы знаете, слой 4 протокол и порт (например, TCP на порт 1025), вы можете фильтровать как IP и порт, как это:

ip.addr==192.168.1.1 and tcp.port==1025. 

Если у вас есть простой текстовый протокол и знать текст сообщения об ошибке (если это на самом деле видно в пакете, а не только в некотором закодированном виде), вы можете использовать опцию «Найти» и искать строку (не забудьте указать тип поиска «string», поскольку по умолчанию «disp» отложить фильтр ").