filter中设定仅抓取HTTP数据包,根据视频教程中的提示,设为"port 80"时打
开网页,一个包也抓不到,如果cature filter留空或者设其它条件,没有问题。
尝试了"tcp port 80"、"port \http"都无效,不但80抓取不到,设为任何端
口都无法抓取数据包,明明有相应的流量,而且又不报错。重装也无效。
出现问题,解决不了,只有问google了,以"wireshark port filter bug"为关
键词,找到以下文章:
http://www.wireshark.org/lists/wireshark-users/200908/msg00215.html
看后才恍然大悟,原来不管是WireShark还是TCPDUMP,在抓取PPPOE的流量时,如
果使用了cature filter,条件应设为"pppoes && port 80"。这样cature filter
才能使用正确的offsets。
"True if the packet is a PPP-over-Ethernet Session packet (Ethernet type
0x8864). Note that the first pppoes keyword encountered in expression changes the
decoding offsets for the remainder of expression on the assumption that
the packet is a PPPoE session packet. "
--
陈永林 <vnresearch@gmail.com>
