51学通信技术论坛

标题: wireshark过滤 [打印本页]

作者: bestflora 时间: 2011-5-5 14:41:32 标题: wireshark过滤

本帖最后由 bestflora 于 2011-5-5 15:42 编辑

我今天在学习有关WAP的内容，比如移动梦网流程，中间用到了一些http协议。于是用wireshark在PC上抓了个“PC访问www.gprshome.com"的包。中间有一堆无关的消息，试了好些方法过滤，都很麻烦。想请教版主是如何过滤的呢。

我是这样过滤的，首先是DNS消息，然后找到与此流程有关的两条消息，从而知道了GPRSHOME对应的IP地址。再把源和目的IP地址是该IP地址的消息都过滤出来。这样做的结果是DNS消息和TCP建立连接的消息、HTTP消息不能一起显示。

作者: 爱卫生 时间: 2011-5-5 15:27:40

回复 bestflora 的帖子

想确认下，你的需求是要把DNS、TCP连接建立以及TCP的连接释放到最后TCP连接关闭过滤出来吗？不知道附件是否能满足你的需求。
可以这样子。用的表达式是：dns.qry.name == "www.gprshome.com" or tcp.stream==12。或者如果想过滤TCP的整个连接过程，可以选中第一个TCP的SYN报文，是#196，然后选择菜单中的“分析”菜单，再选择“后续的TCP流”。系统会自动帮你过滤出来。
另外，假设你已经知道了你需要过滤出来的是第几个包，例如我就想把200和210号包过滤出来，其他的剩下包都删除。就可以用frame.number==200 and frame.number==210来过滤。这种方法可以过滤大量的payload，使得wireshark的包大小大幅减少，从而节省论坛空间。关于这个，可以参考公告区的另一篇帖子。http://www.gprshome.com/forum.php?mod=viewthread&tid=40&extra=page%3D1 关于“上传附件说明”。当然，如果你觉得上传的抓包没有可以省略的，都是和帖子内容相关的，其实就可以不用过滤啦。但如果有大量重复且和帖子主题无关的报文，就可以过滤以后再上传。这样也可以方便大家更好的阅读。呵呵，打广告啦。

[attach]297[/attach]

作者: bestflora 时间: 2011-5-5 15:52:03

本帖最后由 bestflora 于 2011-5-5 16:06 编辑

嗯，附件就是我要的效果。刚刚是没办法，我不知道如何一次性过滤出我要的那些信息了。我已经把原来的附件去掉啦，呵呵。

原来一个TCP连接是用Stream Index来标识的啊，这样简单多了。
之前也用过Wireshark，只是还从来没用到分析这个菜单，今天学到了。
举一反三，选择第一条DNS请求，选择分析-follow UDP stream，就能把这条请求和响应一起过滤出来。而且还能在过滤表达式那里看到是根据什么表达式过滤的。这样真的很方便，软件很强大。

谢谢版主!

作者: 爱卫生 时间: 2011-5-5 16:11:22

本帖最后由爱卫生于 2011-5-5 16:13 编辑

回复 bestflora 的帖子

呵呵。其实也没关系的。有包有附件什么的尽管传，不用担心论坛空间不够。我肯定会想办法解决的。我最担心的就是没人发帖，谢谢你。空间使用率100%比1%要强100倍还不止呢，如果真的空间使用率到了100%，那我真会很开心得不行。不用帮我省空间。{:soso_e100:}
另外，不好意思哦。能否把你刚才的那个原始报文重新放上去呢（我没存盘），这样其他人看到这篇帖子的时候，也可以对照着学习到过滤的方法。麻烦啦！很多时候我可能没表达清楚我的意思，造成误会，不好意思哈！

作者: bestflora 时间: 2011-5-9 14:04:17

不好意思，我之前抓的包被我删了

欢迎光临 51学通信技术论坛 (http://51xuetongxin.com/bbs/)