A filtragem em sinalizadores TCP indicada no Wireshark mostra todos os pacotes que possuem um campo de sinalização TCP - o que qualquer pacote TCP irá transmitir na cadeia do OSI Model.
O que você precisa filtrar é flags específicas, no seu caso SYN e FIN. Para não aparecer tudo, aqui está um exemplo de como você deve filtrar em uma bandeira PSH:
Tcp.flags.push == 1
O que significa "verificar se o sinalizador de envio está configurado". Filtrar por apenas "tcp.flags.push" significaria novamente "verificar se há um campo de sinalização de envio" (o qual existe, sempre). Então, você precisa adaptar o filtro para a as bandeiras SYN e FIN.
Qual é o filtro de exibição que mostra quadros em que qualquer um desses 3 bits esteja configurado?
(Tcp.flags.syn == 1) || (Tcp.flags.push == 1) || (Tcp.flags.reset == 1)
Teste este comando acima...
Uma maneira de criar um filtro como esse é olhar para a seção Bandeiras de um fragmento TCP e, em seguida, para cada bit que você esteja interessado, clique com o botão direito do mouse no campo para esse bit e selecione "Prepare as filter" e, em seguida, Select. (Você pode precisar alterar o valor do que vem após o sinal de igual.)
Teste e me comente o que deu certo e qual era seu objetivo ao buscar algumas informações no especifico arquivo.
-----
Em vez de criar um filtro usando configurações de bits individuais, como
Tcp.flags.urg == 0 &&
Tcp.flags.ack == 1 &&
Tcp.flags.push == 0 &&
Tcp.flags.reset == 0 &&
Tcp.flags.syn == 1 &&
Tcp.flags.fin == 0,
Considere criar um filtro com base na linha de resumo das bandeiras TCP. Por exemplo, o filtro anterior pode ser substituído por tcp.flags == 0x12. Este filtro exibe todos os pacotes SYN / ACK.
No comments:
Post a Comment