在Wireshark找到Skype的流量


1. 先將skype設定中的連線中的port記住(可能跟我的port是不一樣的), 以及將下面以80及443替代連線的勾勾取消掉

2. 在wireshark中輸入filter
ip.src == 你的ip and udp.srcport == 在連線中看到的port
ex.
ip.src == 192.168.1.100 and udp.srcport == 59489

*Skype是用UDP進行連線的

留言

張貼留言

這個網誌中的熱門文章

VirtualBox VDI新增硬碟空間

1. 找到vdi檔在硬碟中的路徑 例如在MAC下的路徑是 /Users/Username/VirtualBox  VMs/VMname/VMname.vdi Windows下的路徑則是C:\Users\Usernamen\VirtualBox VMs\VMname/VMname.vdi 2. 開啟命令字元介面 MAC:打開terminal Windows:打開cmd 3. 輸入指令 VBoxManage modifyhd " 檔案路徑 " --resize 欲增加成多大的硬碟(MB) 例如在MAC下就輸入: VBoxManage modifyhd " /Users/Username/VirtualBox  VMs/VMname/VMname.vdi " --resize  50000 4. 這時這台VM的硬碟大小上限就已經被改成50000MB囉,但多出來的空間並未被分配給VM裡正在使用的硬碟,所以記得再去設定一下延伸磁碟囉
閱讀完整內容

tshark 處理pcap檔案的參數說明

用tshark比慢慢用wireshark來的快多啦 tshark -r 檔案來源 -Y "要濾出的封包filter" -T fields -e 擷取的欄位1 -e 擷取的欄位2 -e 擷取的欄位3 ......(可視需要增加) -E header=n (n代表擷取出來的檔案不要有標題列, y的話就是要) -E separator=, (以","為分隔符號, /t 是tab, /s 是空白, 或是使用任意字元)  -E quote=n (每個欄位資料不要用符號框起來, d/s/n 分別為 雙引號/單引號/不要用符號)  -E occurrence=f (顯示該欄位的哪個值, f/l/a = 第一個/最後一個/全部) 範例 tshark -r C:\Users\user\Desktop\123.pcapng -Y "ip.src == 192.168.1.10" -T fields -e frame.time_relative -e ip.src -e ip.dst -e ip.proto -e tcp.srcport -e tcp.dstport -e frame.len -E header=n -E separator=, -E quote=n -E occurrence=f 所有參數說明: http://www.wireshark.org/docs/man-pages/tshark.html 有時候有的欄位可能會在不同版本下的wireshark可能會抓不到 如果發現想抓的欄位濾不出來的話 可以試試看其他的版本(ex. 使用Development Release才可以濾到wireshark的info那一欄)
閱讀完整內容