構成 UI から WinPcap フィルターを生成しようとしています。現在、次のようなフィルター文字列がありますip && (((ip.src == 10.10.10.10 && (tcp.port == 10 || udp.port == 10)) && (ip.dst == 20.20.20.20 && (tcp.port == 20 || udp.port == 20))))。このフィルターは、Wireshark に入力すると有効になりますが、WinPcap 経由でコンパイルしようとするとsyntax error. 問題なく単純なフィルター ( ip and tcp) をコンパイルしたので、このフィルター文字列と関係があることがわかります。何か案は?
2467 次
1 に答える
5
を入れるだけでなく、プロトコルを指定する必要があるかもしれませんip。例えば
(ip.proto == TCP) && ...
したがって、使用しているフィルター オプションは、wireshark 構文に準拠しています。Wireshark と WinPcap を切り替えられるようにするには、データのキャプチャにBPF 形式を使用する必要があります。収集したい特定のインターフェイスで「キャプチャ オプション」を使用して、フィルタをテストできます。
Wireshark フィルターは、次の BPF コードに変換されます。
ip && (((ip src 10.10.10.10 && (port 10)) && (ip dst 20.20.20.20 && (port 20))))
詳細については、Wireshark のFilterCapturesセクションとWinPcaps ページのフィルター式の構文を参照してください。
于 2013-01-22T19:01:35.767 に答える