在Wireshark中设置数据包长度过滤器

Question

在Wireshark中设置数据包长度过滤器

41

我已经捕获了一个pcap文件并在wireshark上显示出来。我想分析那些'Length'列等于443的udp数据包。

在wireshark上，我尝试找到适当的过滤器。

udp && length 443 # invalid usage
udp && eth.len == 443 # wrong result
udp && ip.len == 443 # wrong result

顺便问一下， wireshark的过滤器可以直接应用于libpcap的过滤器吗？

- Daniel YC Lin

使用简单的 udp.length==443 怎么样？ - Anonymous

1

对于“Wireshark的过滤器可以直接应用于libpcap的过滤器吗？”的问题，答案是“不行” - Wireshark显示过滤器和libpcap捕获过滤器由不同的代码处理，并具有不同的语法和功能（Wireshark显示过滤器比libpcap过滤器更强大，但Wireshark更大，需要做更多的工作来支持它）。 - user862787

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Daniel YC Lin · Accepted Answer

81

所有这些都适用于Wireshark的过滤器

frame.len==243  <- I use this
ip.len==229
udp.length==209
data.len==201

- Daniel YC Lin

5

应使用第一个条件来过滤长度列。 - user862787

不同的长度包含在其中，这表明了嵌套协议，例如IPv4头通常为20 B（ip.len - udp.length）。 - Nick T

另一个更通用的用法是 len(<某个字段>) == <期望的字节数>。 - MrMas