a moldura contém um filtro de visualização "x03x00x0exa8" em ecrãs de visualização wireshark não contendo estes bytes

Question

a moldura contém um filtro de visualização "x03x00x0exa8" em ecrãs de visualização wireshark não contendo estes bytes

usei o seguinte filtro em wireshark para encontrar os pacotes que contêm estes bytes:

frame contains "\x03\x00\x0e\xa8"

mas quando vejo o resultado deste filtro, ele mostra mais de 1k pacotes que nem sequer contêm estes bytes. Por exemplo, ele mesmo exibe o seguinte pacote ethernet:

00219ba0610678e7d1c625f40800450000282a0340008006cd88c0a87801d43af65f059e00503bac54cf9f17722a5010ffff04e50000

em nenhum lugar estes bytes estão contidos neste pacote. Da mesma forma, existem vários outros pacotes que são exibidos enquanto na verdade existem apenas dois pacotes contendo estes bytes que são exibida também. Alguém me pode dizer qual é o problema ? qualquer ajuda será altamente apropriada. obrigado.

4

wireshark packet-capture tcpdump network-programming wireshark-dissector

Author: mezda, 2012-09-20

Source

1 answers

score 11 · Accepted Answer

Um teste rápido indica que:

"\x03\x00\x0e\xa8" é tratada como uma pesquisa por um texto com o \x00 a terminar o texto de pesquisa. Isto é: a string realmente sendo procurada é "\x03".

O seguinte funcionará:

frame contains 03:00:0e:a8

Ver: mostrar os filtros, Guia do utilizador do Wireshark, e ask.wireshark.org

Embora não explicitamente indicado,"..."especifica uma string de pesquisa com terminação nula na constante de string C habitual moda.