如何过滤短时间(例如 3 秒)的 TCP 连接数据包?
我想可能有类似的东西
ip.addr == xxx.xxx.xxx.xxx && (time(tcp.flags.fin==1) - time(tcp.flags.syn==1)) < 3sec
blahblah,但我无法制作正确的过滤器字符串。
在 Wireshark 中过滤持续时间较短的 TCP 连接
网络工程
线鲨
2022-02-26 05:58:40
1个回答
您可以转到Statistics -> Conversations,然后选择TCP选项卡并通过单击按对话的持续时间对对话进行排序Duration。现在您可以准备每个对话或将其应用为过滤器并关注其流。Copy此外,您可以使用按钮复制列表。
这种方式不会一键过滤所有连接,但如果连接不是太多,您可以为每个连接准备一个过滤器,然后显示它们(右键单击每个对话,Prepare a Filter -> ...or Selected.