2. 질의 응답
  3. 이상한 와이어 샤크 동작 (TCP와 UDP 모두 표시된 단일 패킷)

이상한 와이어 샤크 동작 (TCP와 UDP 모두 표시된 단일 패킷)

2016-12-24 7 views
1

나는 this website에서 다운로드 큰 PCAP 파일이 있습니다. (당신은 download the original pcap file 수 : 368 개 매크로 블럭)이상한 와이어 샤크 동작 (TCP와 UDP 모두 표시된 단일 패킷)

할 수도 download a short version that contains only some of the buggy packets.

이 파일 내부의 패킷 이상한 것이 있습니다. sFlow이라는 레이블이 붙은 1113 개의 패킷이 패킷에 적용되는 wireshark-filter와 관련이 없으므로 항상 윈도우에서 해당 패킷을 볼 수 있습니다 (

) 일부 스크린 샷 :

어떤 필터가 적용되지 : enter image description here

필터 만 tcp 패킷을 볼 수 : enter image description here

을 이러한 패킷 잘못 무엇 ip.addr == 68.64.21.64 enter image description here

로 패킷을 볼 수 enter image description here

필터 : udp 패킷 만 볼 수

필터?

출처

2016-12-24 Abraham

+0

완전히 여기에 주제,하지만 어느 쪽이든 떨어져, 패킷 자체가 단순히 UDP와 TCP 모두 수 _cannot_. – Alnitak

답변

2

이 패킷 sFlow 형이다. 이들은 네트워크 샘플링에 사용되므로 다른 네트워크 패킷 샘플을 포함합니다. 디스플레이 필터는 sFlow 패킷 자체뿐만 아니라 모든 내부 패킷에도 적용되는 것처럼 보입니다. 따라서 "tcp"디스플레이 필터는 TCP 샘플을 포함하고있는 sFlow 패킷 (분명히 udp)을 남겨 둡니다. 주소 필터링과 동일합니다. 필터 동작이 맞다면, 나뿐만 아니라 출력에 의해 즐겼다 사진 sFlow inner packet

확실하지에 같이

당신은 내부 패킷을 검사 할 수 있습니다. 제 생각에는 개발자의 의견을 듣기 위해 Wireshark bug database 티켓을 여는 것이 좋을 것 같습니다. 그것이 있는지를 나타내는 IP 헤더의 단일 8 비트 필드가 있기 때문에

출처

2016-12-26 21:36:16

+2

와이어 샤크 디스플레이 필터는 그 표현이 참이면, 그 패킷이 표시됩니다에 부울 연산자처럼 작동; false 인 경우 표시되지 않습니다. 즉, 패킷 내의 ** 필드가 필터와 일치하면 패킷이 표시됩니다. 이 동작은 의도적이며 완전히 예상됩니다. –

 관련 문제

  • 관련 문제 없음^_^