在wireshark中设置数据包长度过滤器
Posted
技术标签:
【中文标题】在wireshark中设置数据包长度过滤器【英文标题】:set a filter of packet length in wireshark 【发布时间】:2012-04-18 20:17:09 【问题描述】:我已经捕获了一个 pcap 文件并将其显示在 wireshark 上。 我想分析那些 'Length' 列等于 443 的 udp 数据包。
在 wireshark 上,我尝试找到合适的过滤器。
udp && length 443 # invalid usage
udp && eth.len == 443 # wrong result
udp && ip.len == 443 # wrong result
对了,wireshark的过滤器可以直接应用在libpcap的过滤器上吗?
【问题讨论】:
直接使用udp.length==443
怎么样?
在回答“wireshark 的过滤器可以直接应用于 libpcap 的过滤器?”时,答案是“否”——Wireshark 显示过滤器和 libpcap 捕获过滤器由不同的代码处理,具有不同的语法和功能( Wireshark 显示过滤器比 libpcap 过滤器强大得多,但 Wireshark 更大,并且做了 LOT 更多的工作来支持它)。
【参考方案1】:
所有这些都适用于 Wireshark 的过滤器
frame.len==243 <- I use this
ip.len==229
udp.length==209
data.len==201
【讨论】:
第一个是应该用来过滤 Length 列的内容。 并且包含的不同长度表示嵌套协议,例如IPv4 标头通常为 20 B (ip.len - udp.length
)。以上是关于在wireshark中设置数据包长度过滤器的主要内容,如果未能解决你的问题,请参考以下文章