Wireshark Tipps – Offset

Wenn mann nur bestimmte Teile mitsniffen möchte, bietet sich der Capture Filter an.
Folgende Syntax wird verlangt:
proto[Offset:Länge] = Vergleichswert
Zum Beispiel:
TCP-Verbindungen mit gesetztem SYN- und ACK-Bit: tcp[13] = 0x012
TCP-Verbindungen mit gesetztem FIN- und ACK-Bit: tcp[13] = 0x011
TCP-Verbindungen mit gesetztem PSH- und ACK-Bit: tcp[13] = 0x018
TCP-Verbindungen mit gesetztem SYN-Bit (nur dieses Bit): tcp[13] = 0x002
TCP-Verbindungen mit gesetztem ACK-Bit (nur dieses Bit): tcp[13] = 0x010
TCP-Verbindungen mit Destinationport 80: tcp[2:2] = 80
Pakete mit einer TTL > 150: ip[8] > 150

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s