उन सभी पैकेजों को फ़िल्टर करें जो किसी विशिष्ट पोर्ट का उपयोग नहीं करते हैं

मैं एक कैप्चर की गई पीक फ़ाइल देखने के लिए वायरशार्क का उपयोग करता हूं। मैं एक विशिष्ट पोर्ट पर बहुत सारे संचार देखता हूं, कि मैं इसमें इंटरसेस्ट नहीं हूं, इसलिए मैं इसे केवल बाकी के संचार को देखने के लिए फ़िल्टर करना चाहता हूं।

मैंने इस फ़िल्टर नियम का उपयोग किया: tcp.dstport != 1337 and tcp.srcport != 1337पोर्ट 1337 पर सभी tcp संचार को हटाने के लिए। लेकिन जैसा कि लगता है कि यह नियम सभी गैर टीसीपी ट्रैफ़िक को भी हटा देता है। उदाहरण के लिए DNS अनुरोध अब नहीं दिखाए गए हैं। यदि मैं फ़िल्टर को बदल देता हूँ तो (tcp.dstport != 1337 and tcp.srcport != 1337) or ! tcpपोर्ट 1337 / tcp को छोड़कर सभी ट्रैफ़िक दिखाता है लेकिन इसे करने का "सही" तरीका नहीं लगता है। क्या केवल tcp ट्रैफ़िक को फ़िल्टर करने और पोर्ट को फ़िल्टर करने के लिए उपयोग tcp.dstportया tcp.srcportबराबर किया जाता है?

आपका फ़िल्टर होना चाहिए:

!(tcp.port == 1337)

व्याख्या

Wireshark में 2 तरह के फिल्टर हैं :

1. कैप्चर फ़िल्टर : ट्रैफ़िक (duh?) को कैप्चर करते समय और बर्कले पैकेट फ़िल्टर (BPF) सिंटैक्स ( pcap-filter का चेकपेज ) के साथ बनाया गया। libpcap वास्तविक कब्जा करने वाली अंतर्निहित लाइब्रेरी है।

2. प्रदर्शन फ़िल्टर : आपके द्वारा देखे गए और एक स्वामित्व सिंटैक्स के साथ निर्मित ट्रैफ़िक की मात्रा को कम करने के लिए उपयोग किया जाता है (इसमें से कुछ बीपीएफ के साथ अतिव्यापी होता है)।

आपके डिस्प्ले फ़िल्टर tcp.dstport != 1337को "पैकेट में 1337 से भिन्न मान के साथ tcp.port नामक फ़ील्ड शामिल है" के रूप में पढ़ा जाना चाहिए । नतीजतन, एक क्षेत्र के बिना पैकेट कोtcp.port फ़िल्टर किया जाएगा।