Wireshark 顯示過濾未回复的 ICMP Echo 數據包

是否有一個wireshark 顯示過濾器可以找到沒有回复的ICMP 回應要求？

在 Wireshark 中，您可以使用 MATE 外掛來實現此功能。我剛剛使用最新版本（1.6.0）進行了測試，它包含在預設安裝包中。

首先，創建一個文本文件來存放 MATE 的以下配置：

Pdu ping_pdu Proto icmp Transport ip {
   Extract addr From ip.addr;
   Extract icmp_type From icmp.type;
   Extract icmp_seq From icmp.seq;
};

Gop ping_pair On ping_pdu Match (addr, addr, icmp_seq) {
   Start (icmp_type=8);
   Stop (icmp_type=0);
};

在 Wireshark 中，轉到 Preferences 並在協議列表中找到 MATE。它有一個配置參數，即配置文件的位置。將其指向您使用上述內容創建的文件的保存位置。

此時，您可以重新啟動 Wireshark 並確保 MATE 正確解析配置。

現在您可以打開一個擷取，所有 ping 請求和響應都應該在詳細資訊窗格中有一些名為“MATE”的額外數據。每個“ping_pdu”與其對應的“ping_pair”分組。

現在應用以下過濾器：

mate.ping_pair.NumOfPdus==1

這將挑出只有 1 個成員的“ping_pairs”（即沒有響應的請求）。

引用自：https://serverfault.com/questions/283903