Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: wireshark amater 09. 11. 2017, 17:25:19

Název: Filtr pro Wireshark pro odchozí/příchozí paket
Přispěvatel: wireshark amater 09. 11. 2017, 17:25:19

Chci ve wiresharku v zachycených paketech filtrovat podle toho, zda jsou příchozí nebo odchozí. Představuji si něco jako frame.direction=="in" nebo[frame.direction_in/i] nebo frame.direction.in
1. Je to dost dobře možné nebo síťová karta  neví nebo se wireshark se nedozví, že daný paket je odchozí a jaký příchozí?
2. Pokud to opravdu nejde, existuje nějaká zkratka, abych furt jak otrok nemusel psát eth.src==22:22:22:22:22:22, ale stačilo třeba jen eth.src=$my_mac,případněeth.out a podobně pro ipip.out a tcp... Problematické je, ale že na 1 rozhraní může mít víc IP, proto tohle je až vyšší dívčí, bohatě by stačilo na urovni frame

Název: Re:filter pro wireshark pro odchozi/prichozi packet?
Přispěvatel: qwe 09. 11. 2017, 20:25:57

1. nikdy som to nerobil, tak neviem ci je to mozne
2. nemusis to manualne vypisovat, staci ked na MAC kliknes pravym tlacitkom a das apply as filter -> selected
sice to musis robit manualne ale vyhnes sa prepisovaniu

ak stale pouzivas tie iste filter, tak si ich vies nadefinovat a ulozit cez analyze -> display filters
potom uz len vyberas ulozene filtre cez zalozku celkom nalavo na riadku kde sa definuju filtre

Název: Re:filter pro wireshark pro odchozi/prichozi packet?
Přispěvatel: wireshark amater 09. 11. 2017, 21:32:59

Citace: qwe  08. 03. 2005, 06:25:57

2. nemusis to manualne vypisovat, staci ked na MAC kliknes pravym tlacitkom a das apply as filter -> selected
sice to musis robit manualne ale vyhnes sa prepisovaniu

zase někdo našel skulinku v dotazu a zneužil toho, vzdávám se. Takhle to nechci. Jak vyberu příchozí pakety například? Protože eth.dst může být moje a nebo multicast nebo nějaký speciální cast( někde jsem viděl nearest). Navíc musím vybrat TEN SPRÁVNÝ paket a přemýšlet, kterou že mám mac a jestli je to Source nebo destination.

Název: Re:filter pro wireshark pro odchozi/prichozi packet?
Přispěvatel: JardaP . 10. 11. 2017, 01:11:07

Nevim, zda-li jste postrehl, ze ve Wiresharku mate dva typy filtru. 1) Capture filter, 2) Display filter.

Pokud vam nenaskoci vyrazka z toho, ze nebudete mit zachyceny pakety, na ktere se nechcete divat, mohl byste pouzit 1) misto 2), jako dosud. Tedy asi capture filter:

Kód: [Vybrat]

dir in/out.[/in]

Název: Re:filter pro wireshark pro odchozi/prichozi packet?
Přispěvatel: Jenda 10. 11. 2017, 01:24:53

Nelze, PCAP informaci o směru prostě neobsahuje: https://wiki.wireshark.org/Development/LibpcapFileFormat

Název: Re:filter pro wireshark pro odchozi/prichozi packet?
Přispěvatel: Jenda 10. 11. 2017, 01:27:43

pcapng to zdá se umí, ale podle wiki (na které je napsáno, že je zastaralá), to wireshark nepodporuje.

Název: Re:filter pro wireshark pro odchozi/prichozi packet?
Přispěvatel: JardaP . 10. 11. 2017, 09:22:15

Tak pokud to nejde, tak snad leda chytat pomoci tcpdump, ktery by to mel umet a pak zobrazit ve Wiresharku. https://www.wireshark.org/docs/wsug_html_chunked/AppToolstcpdump.html

Název: Re:Filtr pro Wireshark pro odchozí/příchozí paket
Přispěvatel: wireshark amater 10. 11. 2017, 18:13:39

"v zachycených paketech filtrovat" myslím, že je výstižně řečeno.

Víte někdo, jak nastavit ve wiresharku, aby zachytávaná data nezapisoval na disk, ale aby, si to ukládal do ram? (myslím tím soubor "%TEMP%\wireshark_nahodna_cisla.pcapng"), pokud to nepůjde, tak aspoň změnit umístění toho capture do souboru, terý bude na ramdisku, holt workaround.