37

我已经捕获了一个 pcap 文件并将其显示在 wireshark 上。我想分析那些“长度”列等于 443 的 udp 数据包。

在wireshark上,我试图找到合适的过滤器。

udp && length 443 # invalid usage
udp && eth.len == 443 # wrong result
udp && ip.len == 443 # wrong result

顺便问一下,wireshark 的过滤器可以直接应用在 libpcap 的过滤器上吗?

4

1 回答 1

73

所有这些都适用于 Wireshark 的过滤器

frame.len==243  <- I use this
ip.len==229
udp.length==209
data.len==201
于 2012-04-05T08:36:09.273 回答