1

我正在尝试过滤包含 sdp 信息的wireshark 捕获。该信息可以在同一个数据包中出现多次,我试图仅过滤初始值。

作为更具体的示例,sdp.media.port 属性可以在同一个数据包中以不同的值出现多次,例如首先作为音频的 12004,然后作为图像的 12006。设置过滤器sdp.media.port == 12004sdp.media.port == 12006将选择此数据包。

过滤器仅选择具有 12006 作为初始值的数据包的语法是什么?如果设置为 12006,此过滤器将忽略上述数据包,但如果设置为 12004,则会选择此数据包

4

1 回答 1

0

如果我理解正确,您想选择数据包,其中媒体类型:音频包含值 12004。
在这种情况下,您可以使用以下显示过滤器:
(sdp.media.media == "audio") && (sdp.媒体端口 == 12004)

顺便说一句
,您可以使用 TShark 创建列表:
仅第一次出现:
tshark -r test.pcap -Y sdp.media.port -T fields -e frame.number -e sdp.media.media -e sdp.media.port - E 出现=f
3 音频 5004
6 音频 23010

所有出现:
tshark -r test.pcap -Y sdp.media.port -T fields -e frame.number -e sdp.media.media -e sdp.media.port -Eoccurrence=a
3 audio,video 5004,5006
6音、视频23010、23030

您可以在手册页中找到有关 TShark 的更多信息。

于 2014-01-20T16:02:13.297 回答