2014-02-26 30 views
12

Ich möchte meine PCP-Datei nach ihren Domänen filtern. Ich meine, ich möchte sehen, dass die Pakete auf einer Website mit ".com", ".org" oder ".net" enden.Filtern nach Domäne

Ich habe versucht: dns enthält "com", ip.src_host == com, ip.src_host == com, http enthält "com". Keine von ihnen hat richtig funktioniert.

+0

Sind diese gespeichert Capture-Dateien Ihre versuchen Capture-Dateien zu filtern oder zu laufen? von http://www.wireshark.org/docs/wsug_html_chunked/ChAdvNameResolutionSection.html Die aufgelösten Namen werden nicht in der Aufnahmedatei oder anderswo gespeichert. Gelöste DNS-Namen werden von Wireshark zwischengespeichert. –

+0

Sie sind bereits erfasste Dateien. Danke für deine Antwort Thaddeus. –

Antwort

12

es http Web-Traffic Angenommen, versuchen http.host contains ".com"

Noch besser wäre es, versuchen http.host matches "\.com$"

Keiner wird die DNS-Auflösung erfordern, da sie auf der Web-Host zu suchen.

Von http://wiki.wireshark.org/DisplayFilters

The matches operator makes it possible to search for text in string fields 
and byte sequences using a regular expression, using Perl regular expression 
syntax. Note: Wireshark needs to be built with libpcre in order to be able to 
use the matches operator. 
+0

Darf ich fragen, wenn ich "http" als Filter schreibe, kann ich kein Paket sehen. Wenn ich jedoch "tcp.port == 80" schreibe, kann ich viele Pakete sehen. Denkst du, warum es so passiert? –