Фрейм содержит "\x03\x00\x0e\xa8" фильтр отображения в wireshark отображает пакеты, не содержащие эти байты

Question

Фрейм содержит "\x03\x00\x0e\xa8" фильтр отображения в wireshark отображает пакеты, не содержащие эти байты

Я использовал следующий фильтр в wireshark, чтобы найти пакеты, содержащие эти байты:

frame contains "\x03\x00\x0e\xa8"

но когда я вижу результат этого фильтра, он отображает более 1 тыс. пакетов, которые даже не содержат этих байтов. Например, он даже отображает следующий пакет Ethernet:

00219ba0610678e7d1c625f40800450000282a0340008006cd88c0a87801d43af65f059e00503bac54cf9f17722a5010ffff04e50000

Нигде эти байты не содержатся в этом пакете. Точно так же есть несколько других пакетов, которые отображаются, в то время как на самом деле есть только два пакета, содержащие эти байты, которые также отображаются. Кто-нибудь может дать мне знать, в чем здесь проблема? любая помощь будет высоко оценена. Спасибо

8

network-programming wireshark tcpdump packet-capture wireshark-dissector

Источник

user1182722 20 сен '12 в 11:37

1 ответ

Решение

Другие вопросы по тегам network-programming wireshark tcpdump packet-capture wireshark-dissector

user615549 20 сен '12 в 21:16 2012-09-20 21:16 · Accepted Answer · 2012-09-20 21:16

Быстрый тест показывает, что:

"\x03\x00\x0e\xa8" рассматривается как поиск строки с \x00 завершить строку поиска. То есть: искомая строка "\x03".

Следующее будет работать:

frame contains 03:00:0e:a8

См. Просмотр фильтров, Руководство пользователя Wireshark и ask.wireshark.org.

Хотя это и не указано явно, "..." указывает строку поиска с завершением NULL в обычном виде строки C.