Somente pacotes problemáticos mostrados no WireShark

Navegue suas respostas
5

Estou usando o WireShark para analisar milhões de pacotes. Existe um filtro que mostrará apenas os pacotes com erros?

Por "erro", quero dizer um erro IP (por exemplo, checksum de cabeçalho IP incorreto), um erro TCP (por exemplo, checksum TCP incorreto) ou um erro na camada de aplicação (no meu caso, o protocolo FIX, que é analisado por WireShark).

Como posso configurar o WireShark para mostrar apenas pacotes errados?

    
por Randomblue 12.07.2013 / 16:08

2 respostas

7

A única noção que o Wireshark tem de "erro" como conceito genérico é a noção de itens de "informações de especialistas" com um nível de severidade de "erro" (que é o nível mais alto de gravidade).

Para encontrar todos os pacotes com esse tipo de item "informação especializada", use o filtro de exibição 

expert.severity == error

no Wireshark 1.10.xe anteriores e 

_ws.expert.severity == error

no Wireshark 1.12 e posterior.

No entanto, isso só mostrará erros se o dissector do Wireshark para o protocolo onde há o erro tiver código que procura o erro em questão e, se o encontrar, incluir um item de informação especializada para esse erro. (O Wireshark é um software idiota, não um especialista em rede inteligente que pode detectar erros além daqueles que foram escritos para detectar.)

    
por 07.08.2013 / 09:33
1

Exemplos de filtros de erros mais específicos: 

_ws.expert.group == Malformed
_ws.expert.severity != Ok
_ws.expert.message ~ "A new tcp session is started with the same ports"

  1. Nomes de grupos:

    Checksum, sequência, resposta, solicitação, Undecoded, remontar, malformado, depuração, protocolo, segurança, comentário

  2. Níveis de gravidade:

    Erro, avisar, anotar, conversar, comentar, ok

  3. Mensagens

    Pode ser consultado em uma exibição de conteúdo de pacote no pacote problemático de amostra, na seção de análise no nó Informações do especialista. Por exemplo. Transmission Control Protocol/[SEQ/ACK analysis]/[TCP Analysis Flags]/[Expert Info]

Isso se baseia na resposta de user164970

    
por 17.05.2018 / 13:18

Tags

RTNETLINK responde: Arquivo existe ... talvez porque tenha atribuído um novo endereço MAC Como posso saber se o modelo especificado do processador Intel é 3rd g ou 4th g?