Como filtrar pacotes com endereços de origem distintos no wireshark?

Question

Como filtrar pacotes com endereços de origem distintos no wireshark?

#1 resposta do (0 votos)
#2 resposta do (0 votos)
#3 resposta do (0 votos)

0

Eu tenho um arquivo pcap e quero que wireshark me mostre pacotes com endereços de origem distintos. Como posso fazer isso em wireshark ?

wireshark pcap packet sorting

por Richard 23.01.2017 / 21:47

3 respostas

Tags wireshark pcap packet sorting

Como fazer o login com o OneDrive Personal Encontre o OpenVPN IP com base na chave pública / cert do cliente

score 0 · Answer 1

Suponho que você esteja procurando a fonte do IPV4, por exemplo

ip.src == 192.168.0.200

Dica : Na visualização de pacotes, você pode clicar com o botão direito do mouse em um valor e escolher "Aplicar como filtro".

score 0 · Answer 2

Use a guia IPv4 no item Pontos de extremidade (ou Conversas), no menu Estatísticas, para ver uma lista de hosts (ou conversas) únicos. Você também pode filtrar ainda mais sua captura clicando com o botão direito do mouse em uma entrada específica.

score 0 · Answer 3

Do seu comentário à resposta da EMK, parece que você está procurando uma lista exclusiva de endereços IP de origem em um arquivo de captura. Supondo que sim, você pode conseguir isso com tshark da seguinte forma:

Em plataformas * nix:

tshark -r capture.pcap -T fields -e ip.src | sort -u

No Windows, você provavelmente precisará de um arquivo em lote para obter o equivalente a sort -u . Provavelmente, você pode usar o fornecido aqui , e fornecido abaixo:

tshark.exe -r capture.pcap -T fields -e ip.src > uniqinput.txt
sortuniq.bat uniqinput.txt

Arquivo em lote:

@echo off
setlocal disabledelayedexpansion
set "prev="
for /f "delims=" %%F in ('sort uniqinput.txt') do (
  set "curr=%%F"
  setlocal enabledelayedexpansion
  if "!prev!" neq "!curr!" echo !curr!
  endlocal
  set "prev=%%F"
)