wireshark抓包排除远程桌面数据包

wireshark抓包排除远程桌面数据包

wireshark抓包中使用ip.addr过滤本机与同局域网内的机器间的通信,同时正在远程桌面连接这台机器,过滤结果中就会有很多相同类型的多余数据包。多余的数据包有tcp协议,也有TPKT协议,这些包有一个相同点都使用3389端口。所以可以使用以下wireshark显示过滤语句净化结果
ip.addr==192.168.1.63&&!(tcp.port==3389)

windows远程桌面使用的是tcp的3389端口,以上过滤条件即是过滤ip地址同时排除经过tcp 3389端口的数据包。

6san.com

发表评论