wireshark精确到字节的过滤方法

wireshark本身提供很多过滤方法，常用的比如根据ip、mac、通信协议等方式来过滤报文。但我一直觉得下面描述的这种过滤方式十分好用，灵活、简便且适用范围广。

这种方式可以过滤报文中的任何一个字节，以dhcp报文为例：

我只想统计discover报文数量，那就针对packet type这一个字段过滤。该字段在42个字节后面1个字节（即第43字节），discover报文类型是1，所以我们只需要输入frame[42:1]==01就好了。

offer给用户分配IP，我需要查看分配192.168.130.x这个网段的报文，所以可以针对ip的前三个字节进行过滤。这个ip前三个字节在报文第58字节后面1个字节，因此过滤条件是frame[58:3]==c0:a8:82。

注意：因为是过滤三个字节，因此frame[58:3]这里是3不是上面例子中的1。

原文地址：https://www.cnblogs.com/luoyingcai/p/11142209.html

时间： 2024-10-05 19:02:28

wireshark精确到字节的过滤方法的相关文章

Wireshark图解教程和过滤方法（简介、抓包、过滤器）

Wireshark是世界上最流行的网络分析工具.这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息.与很多其他网络工具一样,Wireshark也使用pcap network library来进行封包捕捉.可破解局域网内QQ.邮箱.msn.账号等的密码!! wireshark的原名是Ethereal,新名字是2006年起用的.当时Ethereal的主要开发者决定离开他原来供职的公司,并继续开发这个软件.但由于Ethereal这个名称的使用权已经被原来那个公司注册,Wire

Wireshark抓包分析-----过滤规则

Wireshark 基本语法,基本使用方法,及包过虑规则: 1.过滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP Linux上运行的wireshark图形窗口截图示例,其他过虑规则操作类似,不再截图. ip.src eq 10.175.168.182 截图示例: 提示: 在Filter编辑框中,收入过虑

Linux中tshark(wireshark)抓包工具使用方法详解

在Linux下,当我们需要抓取网络数据包分析时,通常是使用tcpdump抓取网络raw数据包存到一个文件,然后下载到本地使用wireshark界面网络分析工具进行网络包分析.最近才发现,原来wireshark也提供有Linux命令行工具-tshark.tshark不仅有抓包的功能,还带了解析各种协议的能力.下面我们以两个实例来介绍tshark工具. 1.安装方法代码如下复制代码 CentOS: yum install -y wiresharkUbuntu: apt-get install

wireshark保存部分报文的方法

抓包时采用下列两种命令: tcpdump –s 0 –i eth0 host IP1 and IP2 and port 5060 and 5080 –v –w file1.pcap 与 tcpdump –s 0 –i eth0 host IP1 –v –w file2.pcap 很显然在同样的时间里第1种抓包所得的file1.pcap的大小远小于file2.pcap的大小. wireshark如何只保存显示过滤器筛选的部分报文?抓包时没有严格设置过滤条件,导致文件过大,如何只保存想要的部分? 这

NET3.5中的扩展方法，DEMO直接通过IEnumerable<T>来自定义调用过滤方法

namespace ConsoleApplication2{ public static class Filter { public static IEnumerable<string> ForUser(this IEnumerable<string> qry, string userName) { return from a in qry where a.Contains(userName.ToLower()) select a; } /// <summary> //

Wireshark学习篇(2)---过滤规则

Wireshark捕获的数据包种类复杂.繁多,通过过滤规则能较快的捕获我们关注的数据包,可以捕获经过指定IP的数据包,按照分类可以分为捕获过滤.显示过滤. 显示过滤:可以完整的复现测试时的网络环境,但会产生较大的捕获文件和内存占用. 捕获过滤:在capture option中设置,仅捕获符合条件的包,可以避免产生较大的捕获文件和内存占用,但不能完整的复现测试时的网络环境. Wireshark过滤指定IP收发数据包示例: (1)抓取所有目标地址是192.168.1.2或者192.168.1.3端口

Oracle数据库日期过滤方法性能比较

在开发SQL时,过滤日期段是经常遇到的情况,如何高效的过滤出日期段?本文通过实验进行验证: 方法一.通过to_char将日期转换成字符串进行比较 to_char(cr.contractenddate, 'YYYY-MM-DD') >= '2014-11-13' and to_char(cr.contractenddate, 'YYYY-MM-DD') <= '2015-11-19' 耗时:0.171s 方法二.通过to_date将字符串转换成日期进行比较 cr.contractenddate

穿梭框（filter过滤方法，sort排序 v-model）

<!DOCTYPE html><html><head lang="en"> <meta charset="UTF-8"> <title>穿梭框</title> <link rel="stylesheet" href="bootstrap.min.css"/> <script src="vue.min.js">&l

在.NET下学习Extjs(第三个案例 Array的过滤方法(filter))

Ext.Array.filter(Array array,Function fn,Object scope):Array array是一个数组,fn是过滤函数,scope是作用域,filter返回的是一个新的数组. 遍历原数组的每一项,经过滤函数过滤,为true的留下构建成新的数组. 构建代码如下: 1 <!DOCTYPE html> 2 <html xmlns="http://www.w3.org/1999/xhtml"> 3 <head> 4 &