wireshark tips

# tcpdump -w tcpdump/filename.cap port 8080

フィルター

  • finのパケットだけをフィルターしたい
tcp.flags.fin==1

tcp.flags==0x11

[1]番目のストリームのFINをフィルター 
tcp.stream eq 1 && tcp.flags.fin==1
  • POSTだけをフィルターしたい
data contains POST
data contains

で大体欲しいのが取れます。

tcpdumpで多めにキャプチャーする

今使ってる環境ではデフォルトで96bytesなので、DATAの中身を取る時にちょっと足りない。

-s 300

 これで300bytesキャプチャーしてくれる

tcpdump -w tcpdump/filename.cap -s 300 

リンク

Wireshark · Display Filter Reference: Transmission Control Protocol <http://www.wireshark.org/docs/dfref/t/tcp.html>

DisplayFilters? - The Wireshark Wiki <http://wiki.wireshark.org/DisplayFilters>

DisplayFilters? - The Wireshark Wikiは超役に立つ

Wireshark: Re: tshark - data.text field <http://seclists.org/wireshark/2010/Sep/377>

ここからcontainsのヒントを得た

6.4. Building display filter expressions <http://www.wireshark.org/docs/wsug_html_chunked/ChWorkBuildDisplayFilterSection.html>

Wireshark · Display Filter Reference: Transmission Control Protocol <http://www.wireshark.org/docs/dfref/t/tcp.html>

Wireshark · Display Filter Reference: Data <http://www.wireshark.org/docs/dfref/d/data.html>


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2011-10-04 (火) 22:54:01 (2758d)