偶尔,我需要比较从TCP会话两端收集的数据包捕获(通常是wireshark或tcpdump)。 有时这两个主机是非常“健谈”,所以我需要缩小捕获到一个特定的会话。
我通常会通过在wireshark的details列中查看看起来很熟悉的东西,右键单击该数据包并selectFollow TCP Stream 。 这一切都很好,但是如何在其他数据包捕获中find相同的等效stream? WireShark是否支持search某种types的streamID?
统计,对话似乎非常相似,你可以在那里做“filter应用”的stream。
如果你知道stream索引号,你可以把它放在filter中: tcp.stream eq 5
你应该看看ask.wireshark.org我发现的地方:
Wireshark如何计算TCPstream索引?
我如何查看stream列表
假设您使用的是TCP,源端口通常是足够独特的,以便在已知时段进行跟踪。 我将在Wireshark中加载第一个捕获,然后转到File -> Merge ,以便将跟踪的两端相邻列出。 确保select“按时间顺序合并数据包”。
然后find一个看起来有趣的数据包。 取决于方向,唯一的源端口或目标端口可能在49152到65535之间。
然后在主屏幕的filter框中,键入tcp.port == 49152 ,其中49152是您唯一的端口。