wireshark捕获UDP数据包:UDP协议显示过滤语法

udp协议分析常用过滤条件
ip.addr==192.168.1.63      //过滤ip地址
data.len==8                         //过滤data部分长度为8的数据包
data.data == 00:08:30:03:00:00:00:00      //过滤指定内容的数据包

udp.srcport == 10092     //过滤经过本机10092端口的udp数据包
udp.dstport == 80           //过滤目标机器10092端口的udp数据包
udp.port==10092           //过滤本机或目标机器10092端口的数据包
udp.length == 20           //过滤指定长度的UDP数据包

udp校验和过滤条件
udp.checksum == 0x250f
udp.checksum_good == 0      //Boolean类型
udp.checksum_bad == 0

进程相关的过滤条件

以下过滤条件不支持Windows,因为需要特殊的驱动。

udp.proc.dstcmd     //过滤目标进程名
udp.proc.dstpid       //过滤目标进程PID
udp.proc.dstuid      //过滤目标进程的用户ID
udp.proc.dstuname   //过滤目标进程的用户名
udp.proc.srccmd      //过滤源进程名
udp.proc.srcpid        //过滤源进程PID
udp.proc.srcuid       //过滤源进程的用户ID
udp.proc.srcuname    //过滤源进程的用户名

 

Leave a Reply

电子邮件地址不会被公开。 必填项已用*标注