Как фильтровать wirehark, чтобы видеть только DNS-запросы, которые отправляются/принимаются с/на моем компьютере?

Я новичок в wirehark и стараюсь писать простые запросы. Чтобы просмотреть запросы DNS, которые отправляются только с моего компьютера или получены на моем компьютере, я попробовал следующее:

dns and ip.addr==159.25.78.7

где 159.25.78.7 - мой IP-адрес. Похоже, я сделал это, когда смотрю на результаты фильтрации, но я хотел быть уверенным в этом. Этот фильтр действительно делает то, что я пытаюсь выяснить? Я немного сомневался, потому что в результатах фильтрации я также вижу только один другой результат, чей протокол ICMP, и его информация говорит: "Destination unreachable (Port unreachable)".

Может ли кто-нибудь помочь мне с этим?

Спасибо

Ответ 1

Я бы просмотрел захват пакетов и посмотрел, есть ли какие-либо записи, которые, как я знаю, я должен видеть, чтобы проверить, работает ли фильтр правильно и чтобы устранить любые сомнения.

Тем не менее, попробуйте следующий фильтр и посмотрите, получаете ли вы записи, которые, по вашему мнению, вам нужно получить:

dns и ip.dst == 159.25.78.7 или dns и ip.src== 159.57.78.7

Ответ 2

Вместо использования DisplayFilter вы можете использовать очень простой CaptureFilter, например

port 53

См. пример "Capture only DNS (порт 53)" в CaptureFilters wiki.

Ответ 3

используйте этот фильтр:

(dns.flags.response == 0) and (ip.src == 159.25.78.7)

что делает этот запрос, он дает только dns queries, исходящий из вашего ip