1. ホーム
  2. 質問と答え
  3. Wiresharkフィルタ:フィルタリングされたパケットの前に送信されたパケットの取得

Wiresharkフィルタ:フィルタリングされたパケットの前に送信されたパケットの取得

2011-10-27 36 views
0

"Error:STATUS_NO_SUCH_FILE"を返すすべてのSMB応答を取得するフィルタをWiresharkで作成しようとしています。私はまた、フィルタリングされたものの前にパケットをつかむことができるようにしたいと思います。ここでは例です:Wiresharkフィルタ:フィルタリングされたパケットの前に送信されたパケットの取得

No. Time  Source  Destination Proto. Length Info 
26482 24.832997 192.168.1.62 192.168.1.4 SMB 288 Trans2 Request, QUERY_PATH_INFO, Query File Basic Info, Path: \1_CLIENTS\CLIENTS\ACME INC 
26483 24.833122 192.168.1.4 192.168.1.62 SMB 158 Trans2 Response, QUERY_PATH_INFO 
26484 24.833232 192.168.1.62 192.168.1.4 SMB 306 Trans2 Request, FIND_FIRST2, Pattern: \1_CLIENTS\CLIENTS\ACME INC\<.AC_ 
26485 24.833909 192.168.1.4 192.168.1.62 SMB 126 Trans2 Response, FIND_FIRST2, Error: STATUS_NO_SUCH_FILE

次のフィルタは、「STATUS_NO_SUCH_FILE」パケットグラブ:

((ip.src == 192.168.1.4) && (ip.dst == 192.168.1.62)) || ((ip.src == 192.168.1.62) && (ip.dst == 192.168.1.4)) && (smb.nt_status == 0xC000000F)

をしかし、私はまた私がどのファイルのパスwasn知っているので、同様にそのいずれかにパケットが前回取得したいと思い見つかりませんでした。

出典

2011-10-27 qroberts

答えて

0

Wiresharkディストリビューションの一部であるTSharkを使用して概要を確認できます。

$ tshark -r FS01-Test.pcap -R smb.nt_status == 0xc000000f -Tフィールド-e frame.number -e smb.nt_status -e smb.response_to -E header = y - Eセパレータ=、> smb.csv

出力:
frame.number、smb.nt_status、
6242,0xc000000f、6238
6247,0xc000000f、6246
6331,0xc000000f、6269
6338 smb.response_to 、0xc000000f、6336

別の例:
$ tshark -r FS01-Test.pcap -R smb.nt_status == 0xc000000f -Tフィールド-e frame.number -e smb.nt_status -e smb.response_to -e smb.search_pattern -E header = y -E separator = 、> smb02.csv

出力:
frame.number、smb.nt_status、smb.response_to、
6242,0xc000000f smb.search_pattern、6238、\\ B \\ディ\\ folder.jpg
6247、 0xc000000f、6246、\\ B \\ Di \\ folder.gif
6331,0xc000000f、6269、\\ B \\ Ex \\ folder.jpg
6338,0xc000000f、6336、\\ B \\ Ex \\ folder.gif

出典

2011-10-27 18:58:52 joke

関連する問題

 関連する問題