0
我試圖在Wireshark中構建我的過濾器來過濾掉不需要的數據包。目前過濾器的樣子:!!!如何在Wireshark中爲「特定數據包使用」Follow TCP stream「?
(http.request.method == POST)& &(http或框架包含 「AA」 || http或框架包含 「BB」)& &(http.response.code == 404或http.response.code == 301或http.response.code == 302或http.response.code == 303)
表示: 「顯示任何流量,但:具有HTTP POST的數據包方法和數據包與酬包含字符串「AA」或「BB」,並分組進行響應代碼404或301或302或303"
從我的角度來看此過濾器可以正確並且很多數據包被過濾掉,我只能看到最重要的數據包。但是現在我想在其餘最重要的數據包上使用「遵循TCP流」。當我嘗試使用「Follow TCP stream」選項時,wireshark正在從整個pcap文件中尋找TCP流,而不是過濾後最重要的數據包。
總結我不想做「跟隨TCP流」爲過濾掉數據包,只是過濾後剩餘的包。
我該如何解決這個問題?
經過進一步調查,我發現這樣做的唯一途徑是通過我的過濾器,然後做「標記所有顯示的數據包」。之後,我們可以通過「導出指定數據包...」導出選定數據包,並記得選擇「數據包範圍:標記數據包」。然後我們有新的pcap文件和指定的數據包,我們可以使用「Follow TCP stream」功能。 謝謝@Guy Harris提示 – noname123