wireshark数据包内容查找功能详解

数据包内容查找功能详解"/>

wireshark数据包内容查找功能详解

        wireshark提供通过数据包特征值查找具体数据包的功能，具体查找功能如下，

        （1）选择查找目标区域（也就是在哪里去匹配特征值）

        如下图，【分组列表】区域查找指的是在最上方的数据包列表区域查找；【分组详情】区域查找指的是在中间的数据包具体内容区域查找；【分组字节流】区域查找则是最下方的字节流区域查找。

        （2）选择查找内容的编码类型（UTF-8、UTF-16编码）

        选择Unicode字符集的编码方式，其中【窄】指的UTF-8编码方式，也就是一个字符编码占1-4个字节（所以兼容ASCII编码），【宽】指的UTF-16编码方式，一个字符占2或4个字节。一般来说，对于文本类型传输来说，UTF-8使用的更为普遍。

        （3）选择查找内容的规则

        【显示过滤器】这个和显示数据包过滤类似，比如ip.src == 192.168.0.100

        【十六进制值】如果选择这个规则，则查找的区域只能是分组字节流，匹配包含有目标hex内容的分组数据流。

        【字符串】可以在指定查找区域内匹配目标字符串，勾选大小写以精确匹配。

        【正则表达式】使用正则表达式如“\s+cert\s+”表示前后都是空格的cert字符串，正则表达式可以使得目标匹配更精准，提高查找效率。