我刚接触Wireshark并试图编写简单的查询语句。为了查看只从我的计算机发送或接收到的DNS查询,我尝试了以下操作:
dns and ip.addr==159.25.78.7
159.25.78.7是我的IP地址。当我查看筛选结果时,看起来似乎我已经找到了,但我想确认一下。那个筛选器是否确实能做到我想找到的东西?我有些怀疑,因为在筛选结果中,我也只看到另外一个协议为ICMP且信息为“目标不可达(端口不可达)”的结果。
有人能帮我吗?
谢谢。
我刚接触Wireshark并试图编写简单的查询语句。为了查看只从我的计算机发送或接收到的DNS查询,我尝试了以下操作:
dns and ip.addr==159.25.78.7
159.25.78.7是我的IP地址。当我查看筛选结果时,看起来似乎我已经找到了,但我想确认一下。那个筛选器是否确实能做到我想找到的东西?我有些怀疑,因为在筛选结果中,我也只看到另外一个协议为ICMP且信息为“目标不可达(端口不可达)”的结果。
有人能帮我吗?
谢谢。
我会查看数据包捕获,并查看是否有任何记录,以验证过滤器是否正常工作并消除任何疑虑。
话虽如此,请尝试使用以下过滤器,并查看您是否获得了您认为应该获得的条目:
dns and (ip.dst==159.25.78.7 or ip.src==159.57.78.7)
此过滤器将仅显示来自159.57.78.7
或发往159.25.78.7
的DNS流量。
使用这个过滤器:
(dns.flags.response == 0) and (ip.src == 159.25.78.7)
您可以通过添加过滤器udp==53来捕获所有DNS查询
dns and ip.addr==127.0.0.1
- Nir Alfasi