Wireshark Filter - OSPF-Datenbank Beschreibung Verbindungsstatus-ID

Wie würde man in Wireshark einen Anzeigefilter für die IP-Adresse der Verbindungsstatus-ID in ein OSPF-Datenbankbeschreibungspaket schreiben? Die Verbindungsstatus-ID-Adressen befinden sich im LSA-Header des DB-Beschreibungspakets.

Filter anzeigen durch Werbung Router-ID :

Dieser Anzeigefilter bringt Sie in die Nähe, da ich ...

ospf.msg.dbdesc == 1 and ospf contains <adv-router-id-as-hex>

Zum Beispiel, wenn Ihr Werbe-Router 1.1.1.1 ist ...

ospf.msg.dbdesc == 1 and ospf contains 01.01.01.01

Das Problem ist jedoch, dass contains 01.01.01.01alle Zeichenfolgeninhalte mit 01.01.01.01 übereinstimmen, sodass sowohl 01.01.01.01 als auch 01.01.01.01.ff übereinstimmen können. Außerdem ist es möglich, dass ein anderes Paket in der DBD auch einen Verweis auf diesen Router enthält. Ich würde.

Filter anzeigen durch Werbung Link-State ID :

Dies ist etwas einfacher, da es eine bessere Chance gibt, eine eindeutige Zeichenfolge zu finden. Solange Sie die Art der LSA kennen, nach der Sie suchen. Für den OSPF-RFC muss das Paket gesendet <lsa-type-4bits>.<link-id-4bytes>werden. Der Anzeigefilter lautet also:

ospf.msg.dbdesc == 1 and ospf contains <lsa-type>.<link-id>

Beispiel: Der Anzeigefilter zum Suchen eines Netzwerkzusammenfassungs-LSA (LSA-Typ 3) mit der ID 10.4.27.0 (hex 0a.04.1b.00):

ospf.msg.dbdesc == 1 and ospf contains 03.0a.04.1b.00

Ein weiteres Beispiel ist der Anzeigefilter zum Auffinden eines externen LSA (LSA Typ 5) mit der ID 10.4.27.0 (hex 0a.04.1b.00):

ospf.msg.dbdesc == 1 and ospf contains 05.0a.04.1b.00

Zu Ihrer Information, dies sind die Nummern, die den LSA-Typen entsprechen