wireshark本身提供很多過濾方法,常用的比如根據ip、mac、通信協議等方式來過濾報文。但我一直覺得下面描述的這種過濾方式十分好用,靈活、簡便且適用范圍廣。
這種方式可以過濾報文中的任何一個字節,以dhcp報文為例:
我只想統計discover報文數量,那就針對packet type這一個字段過濾。該字段在42個字節后面1個字節(即第43字節),discover報文類型是1,所以我們只需要輸入frame[42:1]==01就好了。
offer給用戶分配IP,我需要查看分配192.168.130.x這個網段的報文,所以可以針對ip的前三個字節進行過濾。這個ip前三個字節在報文第58字節后面1個字節,因此過濾條件是frame[58:3]==c0:a8:82。
注意:因為是過濾三個字節,因此frame[58:3]這里是3不是上面例子中的1。
