Wie filtern wir Wireshark, um nur DNS-Abfragen anzuzeigen, die von meinem Computer gesendet/empfangen werden

Question

Ich bin neu in Wireshark und versuche, einfache Abfragen zu schreiben. Um die DNS-Abfragen anzuzeigen, die nur von meinem Computer gesendet oder von meinem Computer empfangen werden, habe ich Folgendes versucht:

dns and ip.addr==159.25.78.7

dabei ist 159.25.78.7 meine IP-Adresse. Es sieht so aus, als hätte ich es gemacht, als ich mir die Filterergebnisse ansah, aber ich wollte mir sicher sein. Hat dieser Filter wirklich das, was ich herauszufinden versuche? Ich habe ein wenig gezweifelt, weil ich in den Filterergebnissen auch nur ein anderes Ergebnis sehe, dessen Protokoll ICMP ist und dessen Info "Ziel nicht erreichbar (Port nicht erreichbar)" sagt.

Kann mir jemand dabei helfen?

Vielen Dank

carloandaya · Accepted Answer

Ich würde die Paketerfassung durchgehen und sehen, ob es Datensätze gibt, von denen ich weiß, dass ich sie sehen sollte, um zu überprüfen, ob der Filter ordnungsgemäß funktioniert und um Zweifel zu zerstreuen.

Bitte probieren Sie den folgenden Filter aus und prüfen Sie, ob Sie die Einträge erhalten, die Sie Ihrer Meinung nach erhalten sollten:

dns und ip.dst == 159.25.78.7 oder dns und ip.src == 159.57.78.7

Ioan Alexandru Cucu · Answer

Anstelle eines DisplayFilter können Sie einen sehr einfachen CaptureFilter verwenden

port 53

Siehe das Beispiel "Nur DNS (Port 53) -Verkehr erfassen" im CaptureFilters-Wiki .

itzkmv · Answer

verwenden Sie diesen Filter:

(dns.flags.response == 0) and (ip.src == 159.25.78.7)

diese Abfrage gibt nur, dass dns queries von Ihrer IP stammt