Wireshark-Filter tcp.length und tcp.data

7

Ich habe mit Wireshark gespielt und zwei Filter bemerkt: tcp.lenund tcp.data. Was ist der Unterschied zwischen den beiden? Soweit ich weiß, gibt das tcp.lenFeld (Länge) an, wie viele Datenbytes innerhalb eines Segments übertragen werden. Richtig?

Danke im Voraus :)

tcp wireshark TheDubleM
quelle

Antworten:

10

Einfach ausgedrückt, tcp.lenfiltert die Länge der TCP-Segmentdaten in Bytes, während tcp.data(oder tcp.segment_datain neueren Versionen von Wireshark) nach den tatsächlichen Daten (Bytesequenz) innerhalb der TCP-Segmentdaten gefiltert wird.

Beispiel:

  • tcp.len == 1
    • Filter für TCP-Segmentdaten mit einer Länge von genau 1 Byte

  • tcp.segment_data contains 49:27:6d:20:64:61:74:61
    • Filter für TCP-Segmentdaten, die die hexadezimale Sequenz 49: 27: 6d: 20: 64: 61: 74: 61 enthalten

Kurzanleitung für TCP-Filter

einmal
quelle