Фильтровать трафик с помощью фильтров отображения wirehark

Question

Я изучаю Wireshark как часть курса. Я хотел бы знать, как использовать фильтры экранов wirehark для фильтрации трафика определенного приложения. Я попробовал использовать ссылку для фильтра экрана для Skype по ссылке ниже: https://www.wireshark.org/docs/dfref/s/skype.html

Тем не менее, я не могу отфильтровать трафик Skype из захваченного у меня. Может ли кто-нибудь предложить подход для фильтрации трафика Skype?

Я знаю, как фильтровать трафик на основе IP-адреса источника/назначения, протоколов, но я хотел бы знать, как захватить определенный трафик приложения, например, для Skype.

Существуют ли какие-либо другие инструменты, которые лучше фильтруют определенный трафик приложения из полного захвата пакета?

Answer 1

Я думаю, в вашем случае coud быть полезным rawcap .Я использовал его, чтобы подслушать мой applications.Data захваченном rawcap можно открыть с помощью wireshark.I использовал его на loopback.You Шоуда быть в состоянии слушать skype. После того, как вы захватили достаточно данных, закройте его с помощью ctrl + c, если я правильно помню, а затем откройте файл, в котором вы сохранили всю информацию с помощью wirehark.

Answer 2

В настоящее время Skype использует другой протокол (если вы используете новый Версия Skype). Теперь он выглядит как нормальный SSL (HTTPS). Поэтому старый диспансер Skype в Вирешарке сейчас совершенно бесполезен.

Попробуйте загрузить файл PCAP в CapLoader и посмотрите на длинные потоки (возможно, на порт TCP 443). Выберите те и экспортируйте их в новый файл PCAP.