Фильтры Wireshark: получение пакета, который был отправлен до отфильтрованного

Question

Я пытаюсь создать фильтр в Wireshark, который будет захватывать все ответы SMB, которые возвращают «Ошибка: STATUS_NO_SUCH_FILE».Я также хотел бы иметь возможность получить пакет раньше, чем отфильтрованные.Вот пример:

No. Time        Source      Destination Proto.  Length  Info
26482   24.832997   192.168.1.62    192.168.1.4 SMB 288 Trans2 Request, QUERY_PATH_INFO, Query File Basic Info, Path: \1_CLIENTS\CLIENTS\ACME INC
26483   24.833122   192.168.1.4 192.168.1.62    SMB 158 Trans2 Response, QUERY_PATH_INFO
26484   24.833232   192.168.1.62    192.168.1.4 SMB 306 Trans2 Request, FIND_FIRST2, Pattern: \1_CLIENTS\CLIENTS\ACME INC\<.AC_
26485   24.833909   192.168.1.4 192.168.1.62    SMB 126 Trans2 Response, FIND_FIRST2, Error: STATUS_NO_SUCH_FILE

Следующий фильтр захватывает пакеты "STATUS_NO_SUCH_FILE":

((ip.src == 192.168.1.4) && (ip.dst == 192.168.1.62)) || ((ip.src == 192.168.1.62) && (ip.dst == 192.168.1.4)) && (smb.nt_status == 0xC000000F)

Но я также хотел бы получить пакет, предшествующий этому, так что я знаюкакой путь к файлу не найден.

Answer 1

Вы можете использовать TShark , часть дистрибутива Wireshark, чтобы получить обзор.
Выполните следующую команду:
$ tshark -r FS01-Test.pcap -R smb.nt_status == 0xc000000f -T поля -e frame.number -e smb.nt_status -e smb.response_to -E header = y -E разделитель =,> smb.csv

Выход:
frame.number, smb.nt_status, smb.response_to
6242,0xc000000f, 6238
6247,0xc000000f, 6246
6331,0xc000000f, 6269
6338,0xc000000f, 6336

Другой пример:
$ tshark -r FS01-Test.pcap -R smb.nt_status == 0xc000000f -T поля -e frame.number -e smb.nt_status -e smb.response_to -e smb.search_pattern -E header = y -E разделитель =, > smb02.csv

Выход:
frame.number, smb.nt_status, smb.response_to, smb.search_pattern
6242,0xc000000f, 6238, \\ B \\ Di \\ folder.jpg
6247,0xc000000f, 6246, \\ B \\ Di \\ folder.gif
6331,0xc000000f, 6269, \\ В \\ Ех \\ folder.jpg * +1021 * 6338,0xc000000f, 6336, \\ B \\ Ex \\ folder.gif