我想创建一个 Wireshark 过滤器来显示所有的数据包
我尝试使用以下过滤器:
dtls || (udp.port >= 1234 && upd.port <= 1250)
Wireshark 但是显示所有类型的数据包,例如52795到53端口的DNS包,完全超出UDP过滤部分的范围,不是DTLS包。
我错过了什么,正确的过滤器表达式是什么?
【问题讨论】:
标签: wireshark
这是一个常见的错误。 udp.port 可以被认为是udp.srcport or udp.dstport 的一种宏,这意味着只要其中一个大于 1234 或任何一个小于 1250,所写的过滤器就会匹配数据包。我想你想要的是:
dtls || ((udp.srcport >= 1234 && udp.srcport <= 1250) || (udp.dstport >= 1234 && udp.dstport <= 1250))
您可能想要创建一个 Wireshark Display Filter Macro 来帮助简化该表达式。例如,假设您创建了以下宏:
((udp.srcport >= $1 and udp.srcport <= $2) or (udp.dstport >= $1 and udp.dstport <= $2))
然后你可以应用这个过滤器:
dtls || ${udp_portrange:1234;1250}
【讨论】: