Come filtrare wireshark per vedere solo le query dns inviate/ricevute dal/dal mio computer?

Question

Sono nuovo a wireshark e sto cercando di scrivere query semplici. Per vedere le query DNS che vengono inviati solo dal mio computer o ricevuti dal mio computer, ho provato la seguente:

dns and ip.addr==159.25.78.7 

dove 159.25.78.7 è il mio indirizzo IP. Sembra che l'ho fatto quando guardo i risultati del filtro ma volevo esserne sicuro. Questo filtro fa davvero quello che sto cercando di scoprire? Ho dubitato un po 'perché nei risultati del filtro vedo anche solo 1 altro risultato il cui protocollo è ICMP e le sue informazioni dicono "Destinazione irraggiungibile (Porta irraggiungibile)".

Qualcuno può aiutarmi con questo?

Grazie

Answer 1

andrei attraverso la cattura dei pacchetti e vedere se ci sono tutti i record che so al previsto per convalidare che il filtro funzioni correttamente e per placare i dubbi.

Detto questo, provare il seguente filtro e vedere se stai ricevendo le voci che si pensa si dovrebbe essere sempre:

DNS e ip.dst == 159.25.78.7 o DNS e ip.src = = 159.57.78.7

Answer 2

Invece di utilizzare un displayfilter è possibile utilizzare un semplice capturefilter come

port 53 

Vedere l'esempio "catturare solo DNS (porta 53) il traffico" sulla CaptureFilters wiki.

Answer 3

uso questo filtro:

(dns.flags.response == 0) and (ip.src == 159.25.78.7) 

ciò che questa ricerca non fa altro che dà solo dns queries originati dal vostro ip