Wie schreibe ich einen Filter in Wireshark / Ethereal, der nur Pakete mit einer bestimmten Zeichenfolge anzeigt?

Question

wireshark

Wie schreibe ich einen Filter in Wireshark / Ethereal, der nur Pakete mit einer bestimmten Zeichenfolge anzeigt?

10498

Jader Dias 2009-11-23 в 14:08

Wireshark unterstützt Filter wie diese:

ip.addr == 192.168.0.1

Wie lautet die Syntax zum Überprüfen des Paketinhalts?

(C # äquivalent zu dem, was ich will)

content.Contains("whateverYouWant")

6

2 Antworten auf die Frage

4

1

Ahe 2009-11-23 в 14:37

Es scheint keinen generischen Weg zu geben, dies zu tun. Der Filter, den Sie anwenden müssen, hängt von dem Protokoll ab, auf das Sie warten. Schauen Sie sich die Filterliste unter http://www.wireshark.org/docs/dfref/ an .

Accepted Answer · 2009-11-23 16:55:32

Gerald Combs 2009-11-23 в 16:55

Versuchen Sie die Operatoren "Enthält" oder "Übereinstimmungen".

tcp contains "an aloof iguana" http matches "my pass.+ is(?i)"

Contains führt einen einfachen Vergleich der Zeichenfolge durch, wobei die Groß- und Kleinschreibung in jedem Wireshark-Paket enthalten ist. Mit Matches können Sie Perl-kompatible reguläre Ausdrücke anwenden. Die Verfügbarkeit hängt von Ihrer Plattform ab. Sie können enthalt auch mit Byte-Strings verwenden:

ip contains 01:ab:9c:45

Es hat in Wireshark 1.2.3 nicht funktioniert und ist auch nicht in der Dokumentation enthalten Jader Dias vor 14 Jahren 0

Welche Filterzeichenfolge möchten Sie verwenden? (... und Sie versuchen nicht, dies als Capture-Filter anzuwenden, oder?) Es sieht so aus, als müssten wir dem Benutzerhandbuch "Übereinstimmungen" und "enthält" hinzufügen, aber Sie finden Beispiele unter http: //. wiki.wireshark.org/DisplayFilters Gerald Combs vor 14 Jahren 0

Wie schreibe ich einen Filter in Wireshark / Ethereal, der nur Pakete mit einer bestimmten Zeichenfolge anzeigt?

2 Antworten auf die Frage

Verwandte Probleme