wireshark 根据数据内容显示过滤
wireshark 显示语法
data.len==16 and data.data[0-3]==c0:a8:06:fb
wireshark 根据数据内容显示过滤示例效果图:
查找 wireshark data.data filter
可以在官网上看到关于data display 的 filter
https://www.wireshark.org/docs/dfref/d/data.html
对于太长的数据,可以使用 data.md5_hash 来判断是否是指定内容的数据。不过一般来说,长度和指定数据部分内容就能够区分了。
tcp.stream eq 0 and frame contains "\x7e\xff"
查找tcp包里面是否包含某个字符串,使用frame contains 就可以了.