Wireshark: conta o número de correspondências de filtro quando um pacote pode corresponder a mais de uma vez

Navegue suas respostas
1

Eu tenho um pcap de tráfego SCTP e uma cláusula de filtro que corresponde à carga útil em determinados pacotes. Eu quero contar quantas dessas cargas existem. No entanto, alguns pacotes contêm várias cargas úteis (algoritmo Nagle), portanto, eles poderiam corresponder ao filtro duas ou mais vezes. Portanto, eu só recebo um limite inferior da filtragem e, em seguida, verifico o número de pacotes correspondentes.

Existe uma maneira no Wireshark de contar o número total de correspondências de filtro em vez do número de pacotes que correspondem a um filtro?

    
por sudo 16.08.2017 / 05:19

1 resposta

1

UPDATE : Dada a expressão de filtro fornecida abaixo, ou seja, s1ap.procedureCode eq 9 , a solução de CLI provavelmente deve ser modificada para algo como isto: 

tshark -r file.pcap -Y "s1ap.procedureCode eq 9" -T fields -e s1ap.procedureCode | sed 's/,/\n/g' | grep "^9" | wc -l

Por grep ing para 9 especificamente, você não conta linhas onde s1ap.procedureCode contém outros valores além de 9 no mesmo pacote, mas você ainda conta todas as ocorrências de 9, mesmo que mais de uma apareça no mesmo pacote.

E, neste caso, não acho que o método de gráfico de E / S funcionará de forma confiável, porque você só pode contar campos, mas deseja contar campos somente para valores específicos do campo.

A resposta

ORIGINAL segue abaixo, onde eu não tinha informações sobre a expressão de filtro de exibição desejada.

Se o seu filtro SCTP representa um campo SCTP, a maneira mais fácil que eu posso fazer para conseguir isso é usando ferramentas de linha de comando, como tshark , sed e wc . Por exemplo: 

tshark -r file.pcap -Y "sctp.filter" -T fields -e frame.number -e sctp.filter | sed 's/,/\n/g' | wc -l

NOTA: Substitua sctp.filter pelo filtro de tela SCTP de sua escolha.

Se você realmente quer usar o Wireshark, então pode fazer isso usando o gráfico de E / S, mas o IMO é tão bom quanto a solução da CLI. Para o meu teste, aqui está o que eu fiz para produzir o mesmo resultado que a resposta que obtive acima:

De "Estatísticas - > Gráfico de E / S - > '+' :

  1. Insira um nome arbitrário para o seu gráfico
  2. Insira seu filtro de exibição
  3. Altere o eixo Y para " COUNT FIELDS (Y Field) "
  4. Insira seu filtro de exibição novamente no campo Y
  5. Certifique-se de ativar seu gráfico com uma marca de seleção
  6. Desativar todos os outros gráficos
  7. Defina o intervalo para 10 min (o máximo)
  8. Selecione Copiar
  9. Cole os dados em um programa de planilha

Se a duração dos seus pacotes for menor que 10 minutos, você terá um título e uma única entrada, que será o número de ocorrências do seu filtro, independentemente do número de pacotes. Se a duração dos seus pacotes for maior que 10 minutos, você precisará somar as ocorrências para obter um total geral.

Finalmente, se o seu filtro SCTP não é simplesmente um campo SCTP, mas uma construção mais complicada, então não sei como resolver isso, mas postar seu filtro exato pode ajudar-me (ou a outra pessoa) a encontrar uma solução .

    
por 17.08.2017 / 23:00

Tags

.rpm localização no Fedora 26? Formas alternativas de ter um endereço IP inalterado para uma instância do AWS EC2