我正在阅读指南,在其中看到使用了以下Wireshark 捕获过滤器。
(tcp[2:2] > 1500 and tcp[2:2] < 1550)
我简要浏览了 Wireshark 的网站,其中列出了各种命令的文档,但我无法理解。我发现的任何教程都涵盖了其他有用但不相关的捕获过滤器的方法,例如host www.example.com and not (port 80 or port 25)至少有意义的方法。
有人可以解释一下这个捕获过滤器的每个部分在做什么吗?
这个 Wireshark 捕获过滤器有什么作用
网络工程
线鲨
包分析
捕获
2022-02-11 03:28:15
1个回答
捕获过滤器不是真正的 Wireshark 语法,而是底层捕获库的语法。根据该库,语法可能会有所不同。
tcp[2:2]表示从 TCP 报头,在两个字节偏移处,取两个字节/八位字节,即目标端口号。
因此,(tcp[2:2] > 1500 and tcp[2:2] < 1550)意味着“捕获目标端口从 1501 到 1549 的 TCP 承载数据包”。
使用更新的捕获库,tcp dst portrange 1501-1549是等效的(并且更容易记住)。
其它你可能感兴趣的问题