今天遇見需要過濾tcp協議中資料資訊的地方,例如,要過濾乙個x11協議是keypress的事件。
截圖如下:
可以在過濾框這樣過濾:
tcp[20:1] == 0x02
這句話的意思是:過濾從tcp協議的頭部開始,去掉20個位元組(也就是tcp頭部是20個位元組),然後後面的乙個位元組值是0x02的報文。
注意是從tcp的位置開始數數,不要從mac報文開始數
因此可以用這種方式進行靈活過濾,比如,我要過濾上圖中tcp.port == 6003的報文,當然可以直接這麼過濾,也可以用:
tcp[0:2] == 17:73這種方式。
算了,有人會說多此一舉~
Wireshark過濾規則
一 ip過濾 包括 ip或者目標ip等於某個ip 比如 ip.src addr 192.168.0.208 or ip.src addr eq 192.168.0.208 顯示 ip ip.dst addr 192.168.0.208 or ip.dst addr eq 192.168.0.208 ...
wireshark過濾規則
b 資料過濾 b ip.src eq 172.16.10.104 or ip.dst eq 192.168.1.107 或者ip.addr eq 172.16.10.1 都能顯示 ip和目標ip img 所有mac位址相關的wifi資料報 wlan.addr mac位址 eth.addr mac 檢...
wireshark過濾規則
b 資料過濾 b ip.src eq 172.16.10.104 or ip.dst eq 192.168.1.107 或者ip.addr eq 172.16.10.1 都能顯示 ip和目標ip img 所有mac位址相關的wifi資料報 wlan.addr mac位址 eth.addr mac 檢...