Wireshark过滤器：获取在过滤之前发送的数据包答案

【问题标题】：Wireshark Filters: Getting the packet that was sent before the filtered oneWireshark过滤器：获取在过滤之前发送的数据包
【发布时间】：2011-10-27 15:45:57
【问题描述】：

我正在尝试在 Wireshark 中创建一个过滤器，它将抓取所有返回“错误：STATUS_NO_SUCH_FILE”的 SMB 响应。我还希望能够在过滤的数据包之前抓取数据包。这是一个例子：

No. Time        Source      Destination Proto.  Length  Info
26482   24.832997   192.168.1.62    192.168.1.4 SMB 288 Trans2 Request, QUERY_PATH_INFO, Query File Basic Info, Path: \1_CLIENTS\CLIENTS\ACME INC
26483   24.833122   192.168.1.4 192.168.1.62    SMB 158 Trans2 Response, QUERY_PATH_INFO
26484   24.833232   192.168.1.62    192.168.1.4 SMB 306 Trans2 Request, FIND_FIRST2, Pattern: \1_CLIENTS\CLIENTS\ACME INC\<.AC_
26485   24.833909   192.168.1.4 192.168.1.62    SMB 126 Trans2 Response, FIND_FIRST2, Error: STATUS_NO_SUCH_FILE

以下过滤器抓取“STATUS_NO_SUCH_FILE”数据包：

((ip.src == 192.168.1.4) && (ip.dst == 192.168.1.62)) || ((ip.src == 192.168.1.62) && (ip.dst == 192.168.1.4)) && (smb.nt_status == 0xC000000F)

但我也想获取该数据包之前的数据包，以便知道找不到哪个文件路径。

【问题讨论】：

标签： wireshark smb

【解决方案1】：

您可以使用 Wireshark 发行版的一部分 TShark 来获得概览。
运行以下命令：
$ tshark -r FS01-Test.pcap -R smb.nt_status==0xc000000f -T fields -e frame.number -e smb.nt_status -e smb.response_to -E header=y -E separator=, > smb.csv
输出：
frame.number,smb.nt_status,smb.response_to
6242,0xc000000f,6238
6247,0xc000000f,6246
6331,0xc000000f,6269
6338,0xc000000f,6336

另一个例子：
$ tshark -r FS01-Test.pcap -R smb.nt_status==0xc000000f -T fields -e frame.number -e smb.nt_status -e smb.response_to -e smb.search_pattern -E header=y -E separator=, > smb02.csv

输出：
frame.number,smb.nt_status,smb.response_to,smb.search_pattern
6242,0xc000000f,6238,\\B\\Di\\folder.jpg
6247,0xc000000f,6246,\\B\\Di\\folder.gif
6331,0xc000000f,6269,\\B\\Ex\\folder.jpg
6338,0xc000000f,6336,\\B\\Ex\\folder.gif

【讨论】：