我需要一个用于wireshark 的捕获过滤器,它将匹配UDP 有效负载中的两个字节。 我见过带有
的滤镜UDP[8:4]
作为匹配标准,但没有对语法的解释,而且我在任何wireshark wiki中都找不到它(大海捞针)。
我只需要捕获 UDP 5361,并且只捕获字节 8C:61 作为有效负载中第三个和第四个字节的数据包。类似的东西
udp port 5361 and udp[2:2]=8C:61
但这当然是我猜测的。感谢您的帮助...
偶然发现:
udp port 5361 and udp[10:2]==0x8C61
UDP 数据字段(有效负载)从偏移量 8 开始,我正在查看有效负载字节 3 和 4。毕竟,提示位于 WireShark Wiki 中。
这是一个老问题,但对其他人来说可能会很方便。
要访问我使用的 UDP 数据包有效负载的第一个字节
udp and data[3]==0x8c and data[4]==0x61