impostare un filtro della lunghezza del pacchetto in wireshark

Ho catturato un file pcap e visualizzato su wireshark. Voglio analizzare quei pacchetti udp con la colonna 'Lunghezza' uguale a 443.impostare un filtro della lunghezza del pacchetto in wireshark

Su wirehark, provo a trovare qual è il filtro corretto.

udp && length 443 # invalid usage 
udp && eth.len == 443 # wrong result 
udp && ip.len == 443 # wrong result

A proposito, il filtro di wireshark potrebbe essere applicato direttamente sul filtro di libpcap?

fonte

2012-04-05 Daniel YC Lin

ne dite di usare semplicemente 'udp.length == 443'? – Anonymous

In risposta a "il filtro di wireshark può essere applicato direttamente sul filtro di libpcap?", La risposta è "no" - I filtri di visualizzazione di Wireshark ei filtri di cattura di libpcap vengono elaborati da codice diverso e hanno sintassi e funzionalità diverse (i filtri di visualizzazione di Wireshark sono molto più potenti dei filtri libpcap, ma Wireshark è più grande e fa un * LOT * più lavoro per supportarlo). –

Tutti questi praticabile sul filtro di Wireshark

frame.len==243 <- I use this 
ip.len=229 
udp.length==209 
data.len=201

fonte

2012-04-05 08:36:09

Il primo di questi è quello che dovrebbe essere usato per filtrare sulla colonna Lunghezza. –

impostare un filtro della lunghezza del pacchetto in wireshark

risposta

Problemi correlati