我需要编写一个过滤器,正确地输出仅 TCP 数据包,这是显而易见的方法,而 wireshark 中写的方法只是,tcp但是当我尝试它时,它还向我显示了 http、tls(据我所知,一切都依赖于 TCP)。
所以我的下一次尝试是,tcp && !http && !ssl它工作正常。但肯定会显示一些依赖于 tcp 且未包含在我的 ! 列表中的其他协议。
仅限制于 TCP 的正确方法是什么?
谢谢 David Schwartz,我指的是数据包。我想要实现的是 - 仅显示来自 TCP 协议的数据包。
可能我真的不会表达,我再试一次用图片。
这是我的过滤器tcp,在协议列中看到 tls 和其他内容。我不希望发生这种情况。所以当我使用tcp && !http && !ssl它时,它解决了我的问题,但还有更好的吗?
答案1
正如其他人提到的,所有这些协议是TCP。您可以尝试 !tcp.data,它排除了带有有效载荷的数据包,但即使这样似乎也不是 100%。您想查找什么?只是 TCP 握手?如果您能告诉我们什么,也许有更好的解决方案确切地您正在寻找。使用您一直使用的过滤器,您排除了 SYN 和 ACK,所以我假设您不是在寻找它们。还剩下什么?TCP 只是更高级别协议的传输,它本身实际上什么也不做。
答案2
使用内置捕获过滤器仅捕获 TCP 流量。