只抓SSL包的过滤表达式应该怎么写?

flystar · 发表于 2009-10-30 12:23:11

设置过滤表达式抓SSL包怎么老提示语法不对,哪位指导一下

天空之城 · 发表于 2009-10-30 17:19:00

在Filter框内输入　ssl 　即可。

lofeng · 发表于 2009-10-30 19:18:19

只想抓取oicq协议的信息呢呢？
我写oicq，提示格式不正确

天空之城 · 发表于 2009-10-31 08:45:35

wireshark----- filter框内输入 oicq 然后apply

flystar · 发表于 2009-10-31 10:37:53

不行,我就是输入ssl ,但是提示过滤表达式有错

lofeng · 发表于 2009-10-31 10:56:08

wireshark----- filter框内输入 oicq 然后apply
天空之城发表于 2009-10-31 08:45

我就是这样做的但是一直提示过滤表达式有错

天空之城 · 发表于 2009-10-31 11:24:49

wireshark Version 1.2.2

lofeng · 发表于 2009-10-31 15:05:37

7# 天空之城
wireshark 1.3.1

lofeng · 发表于 2009-10-31 15:07:28

7# 天空之城
您使用的filter，是抓取所有的网络包，然后再过滤

我上一楼给出的图，是尝试只抓取我想要的包，但是过滤规则不对
我设置的host 10.21.11.38 and 10.21.11.86则起到了我想要的效果

baidu874 · 发表于 2009-12-23 10:57:10

因为wireshark抓包过滤和显示过滤是不同的，所以在抓包的时候能够用的过滤参数和显示过滤也不同。
抓包时候的过滤参数，可以看pcap的手册。我用man手册查了一下，协议方面只支持：
proto  qualifiers restrict the match to a particular protocol. Possi‐\r
            ble  protos are: ether, fddi, tr, wlan, ip, ip6, arp, rarp, dec‐\r
            net, tcp and udp.  E.g., `ether src foo', `arp net 128.3',  `tcp
            port  21',  `udp portrange 7000-7009', `wlan addr2 0:2:3:4:5:6'.
            If there is no proto qualifier, all  protocols  consistent  with
            the  type  are  assumed. E.g.,  `src foo' means `(ip or arp or
            rarp) src foo' (except the latter is  not  legal  syntax),  `net
            bar'  means  `(ip  or  arp or rarp) net bar' and `port 53' means
            `(tcp or udp) port 53'.
所以oicq肯定不是一个合法的协议了，你还是把所有的包都抓下来吧。

cpf4974856 · 发表于 2010-1-22 16:34:16

感觉抓取过滤功能比较少，还是都抓后在过滤吧

pouitong · 发表于 2011-7-9 21:49:32

滴答滴答滴答滴答滴答滴答滴答滴答滴答滴答滴答滴答滴答

sunguofu8 · 发表于 2013-5-6 14:50:38

只要输入ssl

briwind · 发表于 2013-6-1 01:31:41

你的版本太低了吧?那难道是

briwind · 发表于 2013-6-1 01:41:52

你的版本太低了吧?那难道是

briwind · 发表于 2013-6-1 01:42:34

你的版本太低了吧?那难道是

只抓SSL包的过滤表达式应该怎么写?

本帖子中包含更多资源

本帖子中包含更多资源