Início / computer / Perguntas / 1553410
Accepted
Thomas Weller
Asked: 2020-05-20 23:51:36 +0800 CST

Filtrando por matriz de bytes no Wireshark

  • 772

A documentação do Wireshark para filtros diz (ênfase minha):

O operador "contém" permite que um filtro pesquise uma sequência de caracteres, expressa como uma string (entre aspas ou sem aspas), ou bytes, expressos como uma matriz de bytes ou um único caractere, expresso como uma constante de caractere no estilo C.

Infelizmente, ele fornece apenas um exemplo para strings, mas não para matrizes de bytes.

Como faço para expressar uma matriz de bytes no Wireshark?

Eu me pergunto se é mais conveniente do que colocar caracteres de escape em uma string como "\xD0\x00\x0E".

wireshark

1 respostas

  1. Best Answer

    Descobriu-se que a sintaxe dos endereços Ethernet não é específica do endereço MAC, mas é uma sintaxe para arrays de bytes. Então você pode fazer

    udp contains 48:65:6C:6c:6f

    (um equivalente para udp contains "Hello").

    O site vinculado diz em um parágrafo diferente:

    Endereços Ethernet e matrizes de bytes são representados por dígitos hexadecimais. Os dígitos hexadecimais podem ser separados por dois pontos, pontos ou hífens

    Portanto, o seguinte (mesmo estilo misto) também será reconhecido:

    udp contains 48.65.6C.6c.6f
udp contains 48-65-6C-6c-6f
udp contains 48:65-6C.6c-6f
    • 0

relate perguntas