在wireshark中设置数据包长度过滤器

Posted

技术标签:

【中文标题】在wireshark中设置数据包长度过滤器【英文标题】:set a filter of packet length in wireshark 【发布时间】:2012-04-18 20:17:09 【问题描述】:

我已经捕获了一个 pcap 文件并将其显示在 wireshark 上。 我想分析那些 'Length' 列等于 443 的 udp 数据包。

在 wireshark 上,我尝试找到合适的过滤器。

udp && length 443 # invalid usage
udp && eth.len == 443 # wrong result
udp && ip.len == 443 # wrong result

对了,wireshark的过滤器可以直接应用在libpcap的过滤器上吗?

【问题讨论】:

直接使用udp.length==443怎么样? 在回答“wireshark 的过滤器可以直接应用于 libpcap 的过滤器?”时,答案是“否”——Wireshark 显示过滤器和 libpcap 捕获过滤器由不同的代码处理,具有不同的语法和功能( Wireshark 显示过滤器比 libpcap 过滤器强大得多,但 Wireshark 更大,并且做了 LOT 更多的工作来支持它)。 【参考方案1】:

所有这些都适用于 Wireshark 的过滤器

frame.len==243  <- I use this
ip.len==229
udp.length==209
data.len==201

【讨论】:

第一个是应该用来过滤 Length 列的内容。 并且包含的​​不同长度表示嵌套协议,例如IPv4 标头通常为 20 B (ip.len - udp.length)。

以上是关于在wireshark中设置数据包长度过滤器的主要内容,如果未能解决你的问题,请参考以下文章

wireshark 学习 2

wireshark常用过滤规则

wireshark抓包命令总结

wireshark 前置过滤+日志保存

wire shark 抓包过滤器,啊啊啊啊啊

如何在wireshark中抓包过滤返回内容包含某字符串的数据