我想按他们的域过滤我的 pcap 文件。我的意思是,我希望看到数据包来自以“.com”、“.org”或“.net”结尾的网站。
我试过:dns 包含“com”,ip.src_host == com,ip.src_host == com,http 包含“com”。他们都没有正常工作。
问问题
34485 次
1 回答
21
假设它是 http 网络流量,请尝试http.host contains ".com"
更好的是,尝试http.host matches "\.com$"
两者都不需要 DNS 解析,因为它们在 Web 主机上进行搜索。
来自http://wiki.wireshark.org/DisplayFilters
The matches operator makes it possible to search for text in string fields
and byte sequences using a regular expression, using Perl regular expression
syntax. Note: Wireshark needs to be built with libpcre in order to be able to
use the matches operator.
于 2014-02-26T01:44:32.810 回答