เนื่องจากคุณกำลังใช้ Wireshark หมายเลขพอร์ตของคุณจะไม่ได้รับการแก้ไขโดยอัตโนมัติสำหรับชื่อแอปพลิเคชันดังนั้นคุณจะต้องทำอีกเล็กน้อยเพื่อปรับแต่งข้อมูลที่คุณกำลังมองหา ทุกแอปพลิเคชันที่ใช้ TCP / IP เพื่อสื่อสารข้ามเครือข่ายจะใช้พอร์ตเพื่อให้สแต็กเครือข่ายรู้ตำแหน่งที่จะส่งเซ็กเมนต์ไปที่ (ฉันชอบเรียกมันว่าที่อยู่แอปพลิเคชัน)
ลูกค้าที่เชื่อมต่อกับแอปพลิเคชันเซิร์ฟเวอร์ในพอร์ตเฉพาะจะได้รับการจัดสรรหมายเลขพอร์ตแบบไดนามิกจากช่วงไดนามิก ดังนั้นก่อนอื่นคุณต้องค้นหาการเชื่อมต่อ TCP / UDP ว่าแอปพลิเคชันของคุณเปิดอยู่:
netstat -b
ที่บรรทัดรับคำสั่งจะให้รายการการเชื่อมต่อที่มีชื่อของไฟล์เรียกทำงานที่สร้างการเชื่อมต่อ แต่ละไฟล์ที่เรียกทำงานได้มีการเชื่อมต่อหนึ่งรายการขึ้นไปเป็น 127.0.0.1:xxxxx โดยที่ X คือหมายเลขพอร์ตโลคัลสำหรับการเชื่อมต่อ
ขณะนี้อยู่ใน wireshark คุณต้องบอกให้แสดงแพ็กเก็ตที่มาจากหรือถูกลิขิตมาที่พอร์ตนั้นโดยใช้ตัวกรองเหล่านี้ตั้งแต่หนึ่งตัวขึ้นไป:
tcp.port == xxxxx
หรือ udp.port == xxxxx
เพิ่มส่วนเพิ่มเติมor tcp.port == xxxxx
สำหรับแต่ละการเชื่อมต่อที่คุณต้องการแสดง
สิ่งนี้จะช่วยให้คุณเห็นทราฟฟิกทั้งหมดสำหรับการเชื่อมต่อที่แอปพลิเคชันของคุณเปิดอยู่และ Wireshark จะไม่รวมเฉพาะส่วน TCP / UDP ดิบ แต่จะรวมถึงโปรโตคอลเลเยอร์แอปพลิเคชันต่างๆ (เช่น HTTP) ที่ใช้หมายเลขพอร์ตเหล่านั้นด้วย
หากแอปพลิเคชันของคุณสื่อสารกับเซิร์ฟเวอร์เพียงเครื่องเดียวคุณสามารถใช้ที่อยู่ IP ของเซิร์ฟเวอร์นั้นเพื่อกรองตาม:
ip.addr == x.x.x.x