Làm cách nào để lọc các gói có địa chỉ nguồn riêng biệt trong wireshark?
Câu trả lời:
Sử dụng tab IPv4 trong mục Điểm cuối (hoặc Cuộc trò chuyện) trong menu Thống kê để xem danh sách các máy chủ (hoặc cuộc hội thoại) duy nhất. Bạn cũng có thể lọc thêm ảnh chụp của mình từ đây bằng cách nhấp chuột phải vào một mục cụ thể.
Từ nhận xét của bạn đến câu trả lời của EMK, có vẻ như những gì bạn đang tìm kiếm là một danh sách duy nhất các địa chỉ IP nguồn trong một tệp chụp. Giả sử như vậy, bạn có thể đạt được điều này tsharknhư sau:
Trên nền tảng * nix:
tshark -r capture.pcap -T fields -e ip.src | sort -u
Trên Windows, có lẽ bạn sẽ cần một tệp bó để thực hiện tương đương sort -u. Bạn có thể có thể sử dụng một trong những được cung cấp ở đây , và được cung cấp dưới đây:
tshark.exe -r capture.pcap -T fields -e ip.src > uniqinput.txt
sortuniq.bat uniqinput.txt
Tập tin hàng loạt:
@echo off
setlocal disabledelayedexpansion
set "prev="
for /f "delims=" %%F in ('sort uniqinput.txt') do (
set "curr=%%F"
setlocal enabledelayedexpansion
if "!prev!" neq "!curr!" echo !curr!
endlocal
set "prev=%%F"
)
stdouttheo mặc định; bạn có thể chuyển hướng nó đến một tập tin hoặc chuyển nó sang một lệnh khác nếu bạn muốn.
Tôi giả sử bạn đang tìm kiếm nguồn IPV4, vd
ip.src == 192.168.0.200
Mẹo : Trong Chế độ xem gói, bạn có thể nhấp chuột phải vào một giá trị và chọn "Áp dụng làm bộ lọc".