特定UDP字节的wireshark捕获筛选器
我需要一个wireshark的捕获过滤器,它将匹配UDP负载中的两个字节。我看到过带过滤器的过滤器特定UDP字节的wireshark捕获筛选器,udp,wireshark,Udp,Wireshark,我需要一个wireshark的捕获过滤器,它将匹配UDP负载中的两个字节。我看到过带过滤器的过滤器 UDP[8:4] 作为匹配标准,但没有解释语法,我在任何wireshark wiki(大海捞针)中都找不到它 我只需要捕获UDP 5361,并且只捕获将字节8C:61作为有效负载中的第三个和第四个字节的数据包。差不多 udp port 5361 and udp[2:2]=8C:61 但我当然是在猜测。感谢您的帮助……偶然发现: udp port 5361 and udp[10:2]==0x8
UDP[8:4]
udp port 5361 and udp[2:2]=8C:61
udp port 5361 and udp[10:2]==0x8C61
UDP数据字段(有效负载)从偏移量8开始,我正在查看有效负载字节3和4。技巧毕竟在WireShark Wiki中。但是能够对偏移量进行通配符也很好,这样我就可以在UDP数据中的任何位置匹配两个字节,而不是第二个和第三个字节……通配符需要(编译捕获过滤器时)支持循环(内核BPF代码不支持这一点,而且几乎肯定永远不会支持,因为它会让内核BPF解释器无限循环)或者它有一个字节字符串匹配指令。这可能不会很快发生,因为它涉及到对libpcap和各种OS内核的重大更改。