次のトレースがあります。
:
Wireshark の設定で、次のオプションを Off に設定しています。
In TCP Prefs : subdissector が TCP ストリームを再構築できるようにする
In SIP prefs : 複数の TCP セグメントにまたがる sIP ヘッダーを再構築します
In SIP prefs : 複数の TCP セグメントにまたがる sIP ボディを再構築する
以下に示す tshark コマンドを使用して、このトレースを分析しようとしています。しかし、パケットがトレースにあるにもかかわらず、出力にはパケットが表示されません。
[rishabh@pc Test]$tshark -T fields -E header=y -e ip.src -e tcp.srcport -e ip.dst -e tcp.dstport -R "sip.Status-Code eq 500" -r "4.cap"
ip.src tcp.srcport ip.dst tcp.dstport
[rishabh@pc Test]$
ハイライトされたパケットをキャプチャするようにフィルタを変更するにはどうすればよいですか?
上記のwiresharkオプションをすべてオンにすると、TCPパケットが次のように表示されることがわかりました。
おそらく、tshark はデフォルトで再構成を許可しているため、パケットを SIP メッセージとしてフィルタリングすることはできません。また、tshark フィルターを使用してデータをキャプチャすることもできます。「tcp には '500 Responder' が含まれています」
ただし、sip ステータス コードのみとしてフィルター処理する必要があります。どうすればこれを達成できますか?
SIP ステータス コードは実際には 500 であるため、最初のフィルターは機能するはずです。