Ocasionalmente, preciso comparar as capturas de pacotes (geralmente wireshark ou tcpdump) que são coletadas de ambos os lados de uma conversa TCP. Às vezes, os dois hosts envolvidos são muito "chatty", então eu preciso restringir a captura para apenas uma sessão específica.
Geralmente faço isso procurando na coluna details do wireshark algo que pareça familiar, clicando com o botão direito no pacote e selecionando Follow TCP Stream . Tudo bem, mas como posso encontrar o mesmo fluxo equivalente na outra captura de pacotes? O WireShark suporta a busca por um ID de fluxo de algum tipo?
Estatísticas, conversas parece muito semelhante ao que você quer, lá você pode fazer "Aplicar como filtro" para os fluxos de lá.
Se você souber o número do índice de fluxo que pode colocar no filtro: tcp.stream eq 5
Você deve verificar ask.wireshark.org onde eu encontrei:
Supondo que você esteja usando TCP, a porta de origem geralmente é exclusiva o suficiente para rastrear em períodos conhecidos. Eu carregaria a primeira captura no Wireshark, em seguida, vá para File -> Merge para obter as duas extremidades do rastreamento a serem listadas uma ao lado da outra. Certifique-se de que "Mesclar pacotes cronologicamente" esteja selecionado.
Em seguida, encontre um dos pacotes que pareça interessante. Dependendo da direção, a única porta de origem ou porta de destino provavelmente estará entre 49152 e 65535.
Em seguida, na caixa do filtro na tela principal, digite tcp.port == 49152 , onde 49152 é sua porta exclusiva.
Tags wireshark