Вопрос или проблема
Я довольно нов в Wireshark и изучаю его уже больше 2 месяцев. При установке фильтра для разговора на любом TCP-пакете я раньше получал разговор из выбранного пакета и дальше.
Фильтр отображения содержал детализированное описание критериев, таких как: (ip.addr eq [source] and ip.addr eq [dest]) и (tcp.port [source] and tcp.port [dest])
Теперь он просто содержит tcp.stream (номер), при этом показывая мне пакеты, предшествующие моему выбору пакета (обычно возвращается до установленного соединения или SYN/ACK). Остальное осталось прежним, я все еще могу видеть пакеты, содержащие разговор в будущем, но я также заметил, что во время лабораторной работы этот фильтр tcp.stream мешал мне видеть пакеты, которые мне были нужны. Таким образом, вместо выбранного пакета и будущих пакетов я увидел только выбранный пакет SYN, пакет SYN/ACK и ничего больше.
Мой единственный способ решения этой проблемы заключался в том, чтобы использовать вкладку Статистика и искать разговор таким образом, или вручную вводить: ip.addr eq yada yada. У кого-нибудь еще была такая проблема? Есть ли какие-либо предположения, почему это произошло по умолчанию?
Спасибо.
Ответ или решение
Конечно, я постараюсь помочь вам разобраться с вашим вопросом касательно фильтров TCP-сессий в Wireshark.
Проблема, с которой вы столкнулись, связана с изменениями в поведении Wireshark при работе с фильтрами сессий TCP. Вы упоминаете, что раньше, устанавливая фильтр в разговоре на основе TCP-пакета, вы получали отображение всех последующих пакетов данного разговора. Однако теперь фильтр автоматически сводится к выражению tcp.stream, что, к сожалению, ограничивает ваше представление о данных.
Причины проблемы
-
Обновление версии Wireshark: Возможно, вы обновили Wireshark до более новой версии, в которой изменения в функциональности фильтров произошли. Разработчики иногда изменяют поведение фильтров для улучшения производительности или удобства использования.
-
Изменения в настройках: Возможно, настройки отображения фильтров в Wireshark были изменены случайно. Зайдите в настройки и проверьте, не стоит ли какой-либо параметр по умолчанию, который мог бы изменять поведение фильтрации.
Как решить проблему
-
Использование "Display Filters": Если вы хотите получать более подробную информацию о пакете, выделите нужный пакет и затем воспользуйтесь правым кликом мыши, выберите "Apply as Filter" и затем "Selected" или "Not Selected". Это должно создать более сложный фильтр, который включает в себя критерии как для адресов, так и для портов.
-
Создание собственных фильтров: Если автоматические фильтры не работают так, как вы ожидаете, можете вручную формировать фильтры. Например, введите:
(ip.addr == <source_ip> && ip.addr == <dest_ip>) && (tcp.port == <source_port> || tcp.port == <dest_port>)Это даст вам полный контроль над выбором пакетов, которые вам нужны.
-
Анализ через Statistics: Как вы уже заметили, использование вкладки "Statistics" – это также хороший способ получить общее представление о TCP-сессиях. Вы можете просматривать разговоры и выбирать конкретные сессии, которые вас интересуют.
-
Проверка документации: Ознакомьтесь с официальной документацией Wireshark относительно фильтров. Иногда полезно прочитать о новых возможностях и изменениях в функциональности, особенно если вы обновили свою программу.
-
Обратная связь и сообщество: Если ни одно из решений не помогло, вы можете обратиться к сообществу пользователей Wireshark через форуми или списки рассылки. Возможно, другие пользователи сталкивались с аналогичными проблемами.
Заключение
К сожалению, изменения в функциональности фильтров могут привести к недоразумениям и трудностям в анализе данных. Однако, используя предложенные методы, вы сможете адаптировать свое рабочее пространство в Wireshark для более эффективного анализа TCP-сессий. Если проблема продолжает вас беспокоить, не стесняйтесь обратиться за помощью к сообществу или разработчикам. Успехов в дальнейшем изучении Wireshark!