Протокол уровня 3 только в Wireshark

Question

Протокол уровня 3 только в Wireshark

У меня простой вопрос:

Есть ли способ в Wireshark, чтобы избежать разрешения протокола, кроме протокола уровня 3?

Например, в протоколе столбца вместо отображения http я хочу, чтобы он отображал TCP или его значение (6).

В меню анализа / включения протоколов я вижу, что мы можем отключить один за другим, но для очень больших трасс с большим количеством разных протоколов, таких как "eDonkey", "QUAKE" и т. Д., Это стоит много времени...

3

wireshark protocols

Источник

javardo 07 ноя '12 в 16:45

3 ответа

Другие вопросы по тегам wireshark protocols

chutz 07 ноя '12 в 17:00 2012-11-07 17:00 · Answer 1 · 2012-11-07 17:00

По крайней мере, в последнем Wireshark (1.8 или около того) после открытия диалогового окна "Включенные протоколы..." вы можете просто нажать "Отключить все" и затем включить только те несколько протоколов, которые вам нужны. В основном это будет:

SLL - захват в режиме приготовления в Linux - так что вы можете прочитать файл
IPv4 (или IPv6) - ваши протоколы уровня 2
TCP, UDP, ARP - ваши протоколы уровня 3

Нажав на шесть флажков, это не так уж плохо, не так ли?

javardo 07 ноя '12 в 18:40 2012-11-07 18:40 · Answer 2 · 2012-11-07 18:40

Я обнаружил, что есть файл конфигурации с именем disabled_protos, в котором вы можете просто поместить протоколы, которые вы не хотите, чтобы wireshark разрешал, или наоборот.

Спасибо за помощь ребята.

0

Источник

javardo 07 ноя '12 в 18:40

zhenech 07 ноя '12 в 17:01 2012-11-07 17:01 · Answer 3 · 2012-11-07 17:01

В Preferences → Protocols → TCP Вы можете отключить Allow subdissector to reassemble TCP streams, который должен достичь того, что вы хотите.

Или в Enabled Protocols, вы можете отключить сам TCP, и вам будут представлены необработанные IP-пакеты:)

0

Источник

zhenech 07 ноя '12 в 17:01