在wireshark中设置数据包长度过滤器

Posted 2023-03-16

【中文标题】在wireshark中设置数据包长度过滤器

【英文标题】：set a filter of packet length in wireshark

【发布时间】：2012-04-18 20:17:09

【问题描述】：

我已经捕获了一个 pcap 文件并将其显示在 wireshark 上。 我想分析那些 'Length' 列等于 443 的 udp 数据包。

在 wireshark 上，我尝试找到合适的过滤器。

udp && length 443 # invalid usage
udp && eth.len == 443 # wrong result
udp && ip.len == 443 # wrong result

对了，wireshark的过滤器可以直接应用在libpcap的过滤器上吗？

【问题讨论】：

直接使用udp.length==443怎么样？

在回答“wireshark 的过滤器可以直接应用于 libpcap 的过滤器？”时，答案是“否”——Wireshark 显示过滤器和 libpcap 捕获过滤器由不同的代码处理，具有不同的语法和功能（ Wireshark 显示过滤器比 libpcap 过滤器强大得多，但 Wireshark 更大，并且做了 LOT 更多的工作来支持它）。

【参考方案1】：

所有这些都适用于 Wireshark 的过滤器

frame.len==243  <- I use this
ip.len==229
udp.length==209
data.len==201

【讨论】：

第一个是应该用来过滤 Length 列的内容。

并且包含的​​不同长度表示嵌套协议，例如IPv4 标头通常为 20 B (ip.len - udp.length)。