1
我需要针对wireshark的捕获筛选器,它将匹配UDP有效负载中的两个字节。我见过的过滤器与针对特定UDP字节的wireshark捕获筛选器
UDP[8:4]
的匹配标准,但没有语法的解释,并在任何Wireshark的维基(大海捞针的事情),我找不到它。
我只需要捕获UDP 5361,并且只有包含字节8C:61的数据包作为有效负载的第三和第四个字节。就像
udp port 5361 and udp[2:2]=8C:61
但我在猜测这当然。感谢您的帮助......
但是它能很好地通配偏移量,所以我可以在UDP数据中的任何地方匹配两个字节,而不是第二个和第三个...... – user3235770
通配符需要[BPF机器语言](http://www.tcpdump.org/papers/bpf-usenix93.pdf)(编译捕获过滤器)支持循环(对于内核BPF代码,*不支持*,并且几乎可以肯定永远不会,因为它会让你的内核BPF解释器无限循环)或者它有一个字节串匹配指令。这很可能不会很快发生,因为它会涉及对libpcap和各种操作系统内核的重大更改。 –