我正在使用 WireShark 分析数百万个数据包。是否有一个过滤器只显示那些有错误的数据包?
“错误”是指 IP 错误(例如不正确的 IP 标头校验和)、TCP 错误(例如不正确的 TCP 校验和)或应用层错误(在我的例子中,是由 WireShark 解析的 FIX 协议) .
如何将 WireShark 配置为仅显示错误数据包?
小智 12
Wireshark 将“错误”作为通用概念的唯一概念是“专家信息”项目的概念,其严重性级别为“错误”(这是最高级别的严重性)。
要查找具有该类型“专家信息”项的所有数据包,请使用显示过滤器
expert.severity == error
在 Wireshark 1.10.x 及更早版本中
_ws.expert.severity == error
在 Wireshark 1.12 及更高版本中。
但是,只有当存在错误的协议的 Wireshark 解析器具有查找相关错误的代码时,才会显示错误,如果找到,则为该错误添加专家信息项。(Wireshark 是一个愚蠢的软件,不是一个聪明的网络专家,可以检测到除了它被编写用来检测的错误之外的错误。)
| 归档时间: |
|
| 查看次数: |
28220 次 |
| 最近记录: |