[Wireshark] 用 Wireshark 的 matches 運算子來比對正規表示式

[Wireshark] 用 Wireshark 的 matches 運算子來比對正規表示式

今天在用 Wireshark 監視網路上的 HTTP 連線時,發現有很多擾人的訊息,

看起來都是跟 UPnP 有關的流量:

2016-11-10 11_37_36-_區域連線 (host 10.1.117.178)

 

因為實在太多,有點阻擾我想要觀察的重點,決定把它過濾掉~

我想把 HTTP 訊息裡有 UPnP 字眼的全都過濾掉,

查了一下,可以用 matches 運算子來比對正規表示式~

 

像是假設我想把 HTTP Request URI 裡有 upnp 字眼的都濾掉,

可以先對 Request URI 按右鍵 > Prepare a Filter > … and not Selected:

2016-11-10 11_38_29-Greenshot

 

Wireshark 會自動把屬性和對應的值加到 filter 上:

2016-11-10 11_38_58-_區域連線 (host 10.1.117.178)

 

但我並不想過濾完整的 URI,因此可以自己修改一下,

如果 URI 的開頭沒有 /upnphost 字串的話才保留,其他的過濾掉~

這樣改完之後,只剩下 Response 回應的訊息:

2016-11-10 11_39_38-_區域連線 (host 10.1.117.178)

 

接著如法泡製,但這次我想把遠端 Server 裡名稱有 UPnP 的濾掉~

於是對 Server 按右鍵 > Apply as Filter > … and not Selected:

2016-11-10 11_40_16-Greenshot

 

一樣會把目前 server 的值放到 filter 裡面去:

2016-11-10 11_40_27-_區域連線 (host 10.1.117.178)

 

把它用 matches 修改成如果 server 中不包含 UPnP 字串的話,就保留下來:

2016-11-10 11_41_00-_區域連線 (host 10.1.117.178)  

 

matches 運算子算是蠻好用的,可以多加利用~

 

參考資料:filter for partial IP address

 

(本頁面已被瀏覽過 415 次)

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料