Фильтры Wireshark: получение пакета, который был отправлен до отфильтрованного
Я пытаюсь создать фильтр в Wireshark, который будет захватывать все ответы SMB, которые возвращают "Ошибка: STATUS_NO_SUCH_FILE". Я также хотел бы иметь возможность получить пакет раньше, чем отфильтрованные. Вот пример:
No. Time Source Destination Proto. Length Info
26482 24.832997 192.168.1.62 192.168.1.4 SMB 288 Trans2 Request, QUERY_PATH_INFO, Query File Basic Info, Path: \1_CLIENTS\CLIENTS\ACME INC
26483 24.833122 192.168.1.4 192.168.1.62 SMB 158 Trans2 Response, QUERY_PATH_INFO
26484 24.833232 192.168.1.62 192.168.1.4 SMB 306 Trans2 Request, FIND_FIRST2, Pattern: \1_CLIENTS\CLIENTS\ACME INC\<.AC_
26485 24.833909 192.168.1.4 192.168.1.62 SMB 126 Trans2 Response, FIND_FIRST2, Error: STATUS_NO_SUCH_FILE
Следующий фильтр захватывает пакеты "STATUS_NO_SUCH_FILE":
((ip.src == 192.168.1.4) && (ip.dst == 192.168.1.62)) || ((ip.src == 192.168.1.62) && (ip.dst == 192.168.1.4)) && (smb.nt_status == 0xC000000F)
Но я также хотел бы получить пакет, предшествующий этому, чтобы я знал, какой путь к файлу не был найден.
1 ответ
Вы можете использовать TShark, часть дистрибутива Wireshark, чтобы получить обзор.
Запустите следующую команду:
$ tshark -r FS01-Test.pcap -R smb.nt_status == 0xc000000f -T поля -e frame.number -e smb.nt_status -e smb.response_to -E header=y -E разделитель =, > smb.csv
Выход:
frame.number, smb.nt_status, smb.response_to
6242,0xc000000f, 6238
6247,0xc000000f, 6246
6331,0xc000000f, 6269
6338,0xc000000f, 6336
Другой пример:
$ tshark -r FS01-Test.pcap -R smb.nt_status == 0xc000000f -T поля -e frame.number -e smb.nt_status -e smb.response_to -e smb.search_pattern -E header=y -E разделитель =, > smb02.csv
Выход:
frame.number, smb.nt_status, smb.response_to, smb.search_pattern
6242,0xc000000f, 6238, \\ В \\ Di \\ folder.jpg
6247,0xc000000f, 6246, \\ В \\ Di \\folder.gif
6331,0xc000000f, 6269, \\ В \\ Ех \\ folder.jpg
6338,0xc000000f, 6336, \\ В \\ Ех \\folder.gif