Как проследить за пакетами определенного электронного письма, если много почты получено в одно и то же время?

Question

Протокол smtp в основном такой:

S: 220 smtp.example.com ESMTP Postfix
C: HELO relay.example.org
S: 250 Hello relay.example.org, I am glad to meet you
C: MAIL FROM:<bob@example.org>
S: 250 Ok
C: RCPT TO:<alice@example.com>
S: 250 Ok
C: RCPT TO:<theboss@example.com>
S: 250 Ok
C: DATA
S: 354 End data with <CR><LF>.<CR><LF>
C: From: "Bob Example" <bob@example.org>
C: To: "Alice Example" <alice@example.com>
C: Cc: theboss@example.com
C: Date: Tue, 15 Jan 2008 16:02:43 -0500
C: Subject: Test message
C:
C: Hello Alice.
C: This is a test message with 5 header fields and 4 lines in the message body.
C: Your friend,
C: Bob
C: .
S: 250 Ok: queued as 12345
C: QUIT
S: 221 Bye

Но когда получено несколько писем, он становится более сложным

S: 220 smtp.example.com ESMTP Postfix
C: HELO relay.example.org
C: HELO relay.example.org
S: 250 Hello relay.example.org, I am glad to meet you
C: MAIL FROM:<bob@example.org>
S: 250 Ok
C: RCPT TO:<alice@example.com>
**C2: MAIL FROM:<charliebitme@example.org>**
S: 250 Ok
**C2: RCPT TO:<ouch@example.org>**
C: RCPT TO:<theboss@example.com>
S: 250 Ok
C: DATA
**C2: DATA2
C3: MAIL FROM:<foo@example.org>
C3: RCPT TO:<bar@example.com>**
S: 354 End data with <CR><LF>.<CR><LF>
**C3: DATA3**
C: From: "Bob Example" <bob@example.org>
C: To: "Alice Example" <alice@example.com>
C: Cc: theboss@example.com
C: Date: Tue, 15 Jan 2008 16:02:43 -0500
C: Subject: Test message
C:
C: Hello Alice.
C: This is a test message with 5 header fields and 4 lines in the message body.
C: Your friend,
C: Bob
C: .
S: 250 Ok: queued as 12345
C: QUIT
S: 221 Bye

Так как я могу определить, какой пакет данных принадлежит CС1, С2.Или кто отправляет почту на ouch@example.org с помощью wireshark?

Answer 1

Попробуйте создать фильтр TCP (tcp.port, tcp.srcport или tcp.dstport) или IP (ip.addr, ip.src или ip.dst). Используя этот вид фильтров, вы сможете извлечь только одно соединение.