WireSharkで問題のあるパケットのみを表示
WireSharkを使用して数百万のパケットを分析しています。エラーのあるパケットのみを表示するフィルターはありますか?
「エラー」とは、IPエラー(たとえば、不正なIPヘッダーチェックサム)、TCPエラー(たとえば、不正なTCPチェックサム)、またはアプリケーション層(私の場合、FIXプロトコル。WireSharkによって解析されます)。
誤ったパケットのみを表示するようにWireSharkを構成するにはどうすればよいですか?
一般的な概念としてWiresharkが「エラー」について持っている唯一の概念は、「エラー」(重大度の最高レベル)の重大度レベルを持つ「エキスパート情報」アイテムの概念です。
そのタイプの「エキスパート情報」アイテムを持つすべてのパケットを検索するには、表示フィルターを使用します
expert.severity == error
wireshark 1.10.x以前および
_ws.expert.severity == error
wireshark 1.12以降。
ただし、エラーが発生しているプロトコルのWiresharkディセクタに問題のエラーを検索するコードがあり、見つかった場合は、そのエラーのエキスパート情報アイテムを追加すると、エラーが表示されます。 (Wiresharkは馬鹿げたソフトウェアであり、検出のために記述されたエラー以外のエラーを検出できる賢いネットワーキングの専門家ではありません。)
より具体的なエラーフィルターの例:
_ws.expert.group == Malformed
_ws.expert.severity != Ok
_ws.expert.message ~ "A new tcp session is started with the same ports"
グループ名:
チェックサム、シーケンス、応答、要求、デコードされていない、再構成、不正な形式、デバッグ、プロトコル、セキュリティ、コメント
重大度:
エラー、警告、メモ、チャット、コメント、OK
メッセージ
Expert Infoノードの分析セクションで、サンプルの問題のあるパケットのパケットコンテンツビューで検索できます。例えば。
Transmission Control Protocol/[SEQ/ACK analysis]/[TCP Analysis Flags]/[Expert Info]
これはuser164970による回答に基づいています