wireshark를 사용하여 일부 선택된 플로우를 별도의 pcap 파일에 저장합니다.

Question

wireshark 버전 1.6.4를 사용하고 있습니다. wireshark의 스트림 번호에 관한 질문은 다음과 같습니다.

1) UDP 스트림이 UDP 스트림을 사용하지 않는 이유는 무엇입니까? (내가 "tcp 스트림을 따르십시오"라고 말하면 "tcp.stream eq 2"라고 표시되지만 udp 스트림을 따를 때는 동일하지 않습니다)

2) 대화에 가서 일부를 저장하려고합니다. 흐름 (TCP 또는 udp 또는 둘 다) 별도의 pcap 파일에서. 내가 (tcp.stream eq 4 || tcp.stream eq 2 || udp.stream eq 1)와 같은 몇 가지 필터를 사용하여 생각하면 2 TCP 흐름을 저장하려면 이 두 가지 스트림과 별도의 pcap 파일에 하나의 UDP 흐름이 있습니다. 이제는이 접근법의 문제점은 대화 창에 스트림 번호가 표시되지 않는다는 것입니다. & udp 스트림에는 스트림 번호가 없습니다. 또한 이동해야합니다. 대화창에서 먼저 어떤 tcp가 저장되는지 확인한 다음 (최대 바이트 교환을하는 일부 흐름을 저장하려는 경우) 그 흐름을 선택하여 다른 흐름에 대해서도 스트림 번호를 확인하는 등 매우 불편하고 많은 시간이 소요됩니다. 더 좋은 승부가 있습니까? 이 일을하기 위해서.

어떤 도움을 주시면 대단히 감사하겠습니다. 고마워.

Answer 1

2 대화 창
- tcp 또는 udp 스트림을 오른쪽 클릭하고 "필터 준비"를 선택하십시오. "선택"| "< -> B"
표시 필터는 Filter Toolbar
에서 볼 수 있습니다. 다른 tcp 또는 udp 스트림을 마우스 오른쪽 버튼으로 클릭하고 "필터로 준비"를 선택하십시오. "... 또는 선택됨"| "A < -> B"
마지막으로 tcp 또는 udp 스트림을 마우스 오른쪽 버튼으로 클릭하고 "필터로 적용"을 선택하십시오. "... 또는 선택됨"| "A < -> B"

다음 세 스트림을 별도의 캡처 파일에 저장할 수 있습니다.