是否有一个wireshark显示filter,将find没有答复的ICMP回应请求?
在Wireshark中,你可以使用MATE插件来实现这个function。 我刚刚testing了最新版本(1.6.0),它包含在默认安装包中。
首先,创build一个文本文件来保存MATE的以下configuration:
Pdu ping_pdu Proto icmp Transport ip { Extract addr From ip.addr; Extract icmp_type From icmp.type; Extract icmp_seq From icmp.seq; }; Gop ping_pair On ping_pdu Match (addr, addr, icmp_seq) { Start (icmp_type=8); Stop (icmp_type=0); }; 在Wireshark中,转到首选项并在协议列表中findMATE。 它有一个configuration参数,即configuration文件的位置。 将它指向您保存上面创build的文件的位置。
此时,您可以重新启动Wireshark并确保MATE正确parsingconfiguration。
现在,您可以打开一个捕获,所有的ping请求和响应应该在详细信息窗格中有一些标题为“MATE”的额外数据。 每个“ping_pdu”与它的对应组合为“ping_pair”。
现在应用以下filter:
mate.ping_pair.NumOfPdus==1
这将会挑出只有1个成员(即无响应的请求)的“ping_pairs”。