我是wireshark的新手,正在尝试编写简单的查询。要查看仅从我的计算机发送或由我的计算机接收的dns查询,我尝试了以下操作:
dns and ip.addr==159.25.78.7
其中159.25.78.7是我的ip地址。当我看到过滤结果时,看起来我做到了,但我想确定这一点。这个过滤器真的能帮我找出答案吗?我有点怀疑,因为在过滤结果中,我只看到了另外一个协议为ICMP的结果,其信息显示"目的地不可达(端口不可达)"。
有人能帮我吗?
感谢
我会仔细查看数据包捕获,看看是否有我知道应该看到的任何记录,以验证过滤器是否正常工作,并消除任何疑虑。
也就是说,请尝试以下过滤器,看看你是否得到了你认为应该得到的条目:
dns and (ip.dst==159.25.78.7 or ip.src==159.57.78.7)
此筛选器将仅显示从159.57.78.7或到159.25.78.7的DNS流量。
与其使用DisplayFilter,不如使用像这样的非常简单的CaptureFilter
port 53
请参阅CaptureFilters wiki上的"仅捕获DNS(端口53)流量"示例。
使用此筛选器:
(dns.flags.response == 0) and (ip.src == 159.25.78.7)
这个查询所做的是,它只提供源自ip 的dns queries
您可以通过添加过滤器udp==53来查看所有dns查询