Comment filtrer WireShark pour ne voir que les requêtes DNS envoyées/reçues de/par mon ordinateur?
Wirehark est une nouvelle recrue qui essaie d’écrire des requêtes simples. Pour voir les requêtes DNS qui ne sont envoyées que depuis mon ordinateur ou reçues par mon ordinateur, j'ai essayé les solutions suivantes:
dns and ip.addr==159.25.78.7
où 159.25.78.7 est mon adresse IP. On dirait que je l'ai fait quand je regarde les résultats du filtre, mais je voulais en être sûr. Ce filtre fait-il vraiment ce que je cherche à savoir? J'ai douté un peu parce que dans les résultats du filtre, je ne vois également qu'un seul autre résultat dont le protocole est ICMP et dont l'info dit "Destination inaccessible (Port inaccessible)".
Est-ce que quelqu'un peut m'aider avec ça?
Merci
J'examinerais la capture de paquets pour voir s'il y avait des enregistrements que je devrais consulter pour valider le bon fonctionnement du filtre et dissiper les doutes.
Cela dit, veuillez essayer le filtre suivant et voir si vous obtenez les entrées que vous pensez devoir recevoir:
dns et ip.dst == 159.25.78.7 ou dns et ip.src == 159.57.78.7
Plutôt que d’utiliser un DisplayFilter, vous pouvez utiliser un CaptureFilter très simple comme
port 53
Voir l'exemple "Capture uniquement du trafic DNS (port 53)" sur le wiki CaptureFilters .
utiliser ce filtre:
(dns.flags.response == 0) and (ip.src == 159.25.78.7)
ce que cette requête fait est qu'elle ne donne que dns queries provenant de votre ip