我想按他們的域過濾我的pcap文件。我的意思是,我希望看到網站上的數據包以「.com」,「.org」或「.net」結尾。按域過濾
我想: DNS包含 「COM」, ip.src_host == COM, ip.src_host == COM, HTTP包含 「COM」。他們都沒有正常工作。
我想按他們的域過濾我的pcap文件。我的意思是,我希望看到網站上的數據包以「.com」,「.org」或「.net」結尾。按域過濾
我想: DNS包含 「COM」, ip.src_host == COM, ip.src_host == COM, HTTP包含 「COM」。他們都沒有正常工作。
假設它的HTTP網絡流量,儘量http.host contains ".com"
更重要的是,儘量http.host matches "\.com$"
兩者都不需要DNS解析,因爲他們在網絡主機上進行搜索。
從http://wiki.wireshark.org/DisplayFilters
The matches operator makes it possible to search for text in string fields
and byte sequences using a regular expression, using Perl regular expression
syntax. Note: Wireshark needs to be built with libpcre in order to be able to
use the matches operator.
請問,當我寫「http」作爲過濾器時,我看不到任何數據包。但是,當我寫「tcp.port == 80」時,我可以看到很多數據包。你認爲爲什麼會發生這種情況? –
是你試圖過濾或運行捕獲文件所保存的這些捕獲文件?從http://www.wireshark.org/docs/wsug_html_chunked/ChAdvNameResolutionSection.html解析的名稱不存儲在捕獲文件或其他地方。已解決的DNS名稱由Wireshark緩存。 –
他們已經被捕獲文件。謝謝你回答Thaddeus。 –