Я новичок в wirehark и стараюсь писать простые запросы. Чтобы просмотреть запросы DNS, которые отправляются только с моего компьютера или получены на моем компьютере, я попробовал следующее:
dns and ip.addr==159.25.78.7
где 159.25.78.7 - мой IP-адрес. Похоже, я сделал это, когда смотрю на результаты фильтрации, но я хотел быть уверенным в этом. Этот фильтр действительно делает то, что я пытаюсь выяснить? Я немного сомневался, потому что в результатах фильтрации я также вижу только один другой результат, чей протокол ICMP, и его информация говорит: "Destination unreachable (Port unreachable)".
Может ли кто-нибудь помочь мне с этим?
Спасибо
Я бы просмотрел захват пакетов и посмотрел, есть ли какие-либо записи, которые, как я знаю, я должен видеть, чтобы проверить, работает ли фильтр правильно и чтобы устранить любые сомнения.
Тем не менее, попробуйте следующий фильтр и посмотрите, получаете ли вы записи, которые, по вашему мнению, вам нужно получить:
dns и ip.dst == 159.25.78.7 или dns и ip.src== 159.57.78.7
Вместо использования DisplayFilter вы можете использовать очень простой CaptureFilter, например
port 53
См. пример "Capture only DNS (порт 53)" в CaptureFilters wiki.
используйте этот фильтр:
(dns.flags.response == 0) and (ip.src == 159.25.78.7)
что делает этот запрос, он дает только dns queries, исходящий из вашего ip