7

我在wireshark中使用了以下过滤器来查找包含这些字节的数据包:

frame contains "\x03\x00\x0e\xa8"

但是当我看到这个过滤器的结果时,它显示了超过 1k 个甚至不包含这些字节的数据包。例如,它甚至显示以下以太网数据包:

00219ba0610678e7d1c625f40800450000282a0340008006cd88c0a87801d43af65f059e00503bac54cf9f17722a5010ffff04e50000

这些字节不包含在此数据包中。类似地,还有其他几个数据包被显示,而实际上只有两个包含这些字节的数据包也被显示。谁能让我知道这里有什么问题?任何帮助都将受到高度赞赏。谢谢

4

1 回答 1

15

快速测试表明:

"\x03\x00\x0e\xa8"被视为以搜索字符串\x00结尾的字符串搜索。即:实际搜索的字符串是"\x03".

以下将起作用:

frame contains 03:00:0e:a8

请参阅:显示过滤器Wireshark 用户指南ask.wireshark.org

尽管没有明确说明,“...”以通常的 C 字符串常量方式指定以 NULL 结尾的搜索字符串。

于 2012-09-20T21:16:11.627 回答