Filtro Wireshark - ID do banco de dados OSPF Descrição do estado do link

No Wireshark, como escrever um filtro de exibição para o endereço IP do ID do estado do link em um pacote de Descrição do banco de dados OSPF? Os endereços de identificação do estado do link são encontrados no cabeçalho LSA do pacote de descrição do banco de dados.

Exibir filtro anunciando o ID do roteador :

Esse filtro de exibição o aproximará, pois eu posso ...

ospf.msg.dbdesc == 1 and ospf contains <adv-router-id-as-hex>

Por exemplo, se o seu roteador de publicidade for 1.1.1.1 ...

ospf.msg.dbdesc == 1 and ospf contains 01.01.01.01

No entanto, o problema é que contains 01.01.01.01corresponde a qualquer conteúdo de string com 01.01.01.01, portanto, 01.01.01.01 ou 01.01.01.01.ff podem corresponder ... além disso, é possível que algum outro pacote no DBD também contenha uma referência a esse roteador. Eu iria.

Exibir filtro por publicidade Link-State ID :

Isso é um pouco mais fácil, porque há uma chance melhor de encontrar uma string única; desde que você saiba o tipo de LSA que está procurando. O OSPF RFC exige que o pacote seja enviado <lsa-type-4bits>.<link-id-4bytes>, portanto o filtro de exibição é:

ospf.msg.dbdesc == 1 and ospf contains <lsa-type>.<link-id>

Por exemplo, o filtro de exibição para encontrar um LSA de Resumo de Rede (LSA Tipo 3) com o ID 10.4.27.0 (hex 0a.04.1b.00):

ospf.msg.dbdesc == 1 and ospf contains 03.0a.04.1b.00

Outro exemplo, o filtro de exibição para encontrar um LSA externo (LSA tipo 5) com o ID 10.4.27.0 (hex 0a.04.1b.00):

ospf.msg.dbdesc == 1 and ospf contains 05.0a.04.1b.00

Para sua informação, estes são os números correspondentes aos tipos de LSA