establece un filtro de longitud de paquete en wireshark

He capturado un archivo pcap y lo visualizo en wireshark. Quiero analizar esos paquetes udp con la columna 'Longitud' es igual a 443.establece un filtro de longitud de paquete en wireshark

En wireshark, trato de encontrar cuál es el filtro apropiado.

udp && length 443 # invalid usage 
udp && eth.len == 443 # wrong result 
udp && ip.len == 443 # wrong result

Por cierto, ¿podría el filtro del wireshark aplicarse directamente en el filtro de libpcap?

Fuente

2012-04-05 Daniel YC Lin

Cómo sobre el uso simplemente 'udp.length == 443'? – Anonymous

En respuesta a "¿el filtro de wireshark puede aplicarse directamente en el filtro de libpcap?", La respuesta es "no": los filtros de visualización de Wireshark y los filtros de captura libpcap son procesados por código diferente y tienen diferentes sintaxis y capacidades (los filtros de visualización de Wireshark son mucho más potentes que los filtros libpcap, pero Wireshark es más grande y hace MUCHO * más trabajo para respaldar eso). –

Todos estos viable en el filtro de Wireshark

frame.len==243 <- I use this 
ip.len=229 
udp.length==209 
data.len=201

Fuente

2012-04-05 08:36:09

El primero de ellos es lo que se debe usar para filtrar en la columna Longitud. –

establece un filtro de longitud de paquete en wireshark

Respuesta

Cuestiones relacionadas