Filtr pro Wireshark pro odchozí/příchozí paket

wireshark amater

Filtr pro Wireshark pro odchozí/příchozí paket
« kdy: 09. 11. 2017, 17:25:19 »
Chci ve wiresharku v zachycených paketech filtrovat podle toho, zda jsou příchozí nebo odchozí. Představuji si něco jako frame.direction=="in" nebo[frame.direction_in/i] nebo frame.direction.in
1. Je to dost dobře možné nebo síťová karta  neví nebo se wireshark se nedozví, že daný paket je odchozí a jaký příchozí?
2. Pokud to opravdu nejde, existuje nějaká zkratka, abych furt jak otrok nemusel psát eth.src==22:22:22:22:22:22, ale stačilo třeba jen eth.src=$my_mac,případněeth.out a podobně pro ipip.out a tcp... Problematické je, ale že na 1 rozhraní může mít víc IP, proto tohle je až vyšší dívčí, bohatě by stačilo na urovni frame
« Poslední změna: 10. 11. 2017, 10:15:50 od Petr Krčmář »


qwe

Re:filter pro wireshark pro odchozi/prichozi packet?
« Odpověď #1 kdy: 09. 11. 2017, 20:25:57 »
1. nikdy som to nerobil, tak neviem ci je to mozne
2. nemusis to manualne vypisovat, staci ked na MAC kliknes pravym tlacitkom a das apply as filter -> selected
sice to musis robit manualne ale vyhnes sa prepisovaniu

ak stale pouzivas tie iste filter, tak si ich vies nadefinovat a ulozit cez analyze -> display filters
potom uz len vyberas ulozene filtre cez zalozku celkom nalavo na riadku kde sa definuju filtre

wireshark amater

Re:filter pro wireshark pro odchozi/prichozi packet?
« Odpověď #2 kdy: 09. 11. 2017, 21:32:59 »
2. nemusis to manualne vypisovat, staci ked na MAC kliknes pravym tlacitkom a das apply as filter -> selected
sice to musis robit manualne ale vyhnes sa prepisovaniu
zase někdo našel skulinku v dotazu a zneužil toho, vzdávám se. Takhle to nechci. Jak vyberu příchozí pakety například? Protože eth.dst může být moje a nebo multicast nebo nějaký speciální cast( někde jsem viděl nearest). Navíc musím vybrat TEN SPRÁVNÝ paket a přemýšlet, kterou že mám mac a jestli je to Source nebo destination.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:filter pro wireshark pro odchozi/prichozi packet?
« Odpověď #3 kdy: 10. 11. 2017, 01:11:07 »
Nevim, zda-li jste postrehl, ze ve Wiresharku mate dva typy filtru. 1) Capture filter, 2) Display filter.

Pokud vam nenaskoci vyrazka z toho, ze nebudete mit zachyceny pakety, na ktere se nechcete divat, mohl byste pouzit 1) misto 2), jako dosud. Tedy asi capture filter:
Kód: [Vybrat]
dir in/out.[/in]

Jenda

Re:filter pro wireshark pro odchozi/prichozi packet?
« Odpověď #4 kdy: 10. 11. 2017, 01:24:53 »
Nelze, PCAP informaci o směru prostě neobsahuje: https://wiki.wireshark.org/Development/LibpcapFileFormat


Jenda

Re:filter pro wireshark pro odchozi/prichozi packet?
« Odpověď #5 kdy: 10. 11. 2017, 01:27:43 »
pcapng to zdá se umí, ale podle wiki (na které je napsáno, že je zastaralá), to wireshark nepodporuje.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:filter pro wireshark pro odchozi/prichozi packet?
« Odpověď #6 kdy: 10. 11. 2017, 09:22:15 »
Tak pokud to nejde, tak snad leda chytat pomoci tcpdump, ktery by to mel umet a pak zobrazit ve Wiresharku. https://www.wireshark.org/docs/wsug_html_chunked/AppToolstcpdump.html

wireshark amater

Re:Filtr pro Wireshark pro odchozí/příchozí paket
« Odpověď #7 kdy: 10. 11. 2017, 18:13:39 »
"v zachycených paketech filtrovat" myslím, že je výstižně řečeno.

Víte někdo, jak nastavit ve wiresharku, aby zachytávaná data nezapisoval na disk, ale aby, si to ukládal do ram? (myslím tím soubor "%TEMP%\wireshark_nahodna_cisla.pcapng"), pokud to nepůjde, tak aspoň změnit umístění toho capture do souboru, terý bude na ramdisku, holt workaround.