特定UDP字节的wireshark捕获过滤器

【问题标题】:wireshark capture filter for specific UDP bytes特定UDP字节的wireshark捕获过滤器
【发布时间】:2015-04-30 14:00:32
【问题描述】:

我需要一个用于匹配 UDP 有效负载中的两个字节的wireshark 捕获过滤器。我见过带有

的过滤器 
UDP[8:4]

作为匹配标准,但没有对语法的解释,我在任何wireshark wiki中都找不到它(大海捞针)。

我只需要捕获 UDP 5361,并且只需要将字节 8C:61 作为有效负载中的第三和第四字节的数据包。类似的东西

udp port 5361 and udp[2:2]=8C:61

但我当然是在猜测。感谢您的帮助...

【问题讨论】:

    标签: udp wireshark


    【解决方案1】:

    偶然发现:

    udp port 5361 and udp[10:2]==0x8C61

    UDP 数据字段(有效负载)从偏移量 8 开始,我正在查看有效负载字节 3 和 4。毕竟,提示是在 WireShark Wiki 中。

    【讨论】:

    • 但是如果能够对偏移量进行通配符也很不错,这样我就可以匹配 UDP 数据中任意位置的两个字节,而不是第二个和第三个......
    • 通配符需要the BPF machine language(捕获过滤器编译到其中)支持循环(内核BPF代码不支持,几乎可以肯定永远不会,因为它会让你让内核 BPF 解释器无限循环)或者它有一个字节字符串匹配指令。这可能不会很快发生,因为它涉及对 libpcap 和各种操作系统内核的重大更改。
    猜你喜欢
    • 2017-08-08
    • 2016-06-25
    • 2015-09-10
    • 2019-04-26
    • 2011-11-15
    • 2011-12-20
    • 2022-01-04
    • 2010-11-14
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode