我有一个简单的问题:
除了第3层的协议外,还有什么方法可以避免协议的parsing?
例如,在列协议中,而不是显示http,我希望它显示TCP或它的值(6)。
我可以在菜单分析/启用协议中看到我们可以逐个禁用,但是对于像“eDonkey”,“QUAKE”等大量不同协议的非常大的跟踪,这花费了很多时间…
至less在最新的wireshark(1.8左右)中,打开“Enabled Protocols …”对话框后,你可以点击“Disable All”,然后只启用你需要的几个协议。 大部分情况是这样的:
点击六个checkbox也不错,是吗?
在Preferences → Protocols → TCP您可以禁用Allow subdissector to reassemble TCP streams ,这应该达到你想要的。
或者,在已Enabled Protocols ,您可以禁用TCP本身,并且您将看到原始IP数据包:)
我发现有一个名为disabled_protos的configuration文件,您可以在其中放置不需要wiresharkparsing的协议,反之亦然。
谢谢你们的帮助