是否有一个pcapfilter的TCPDump,将允许过滤零窗口消息?
我知道如何在tcp.analysis.zero_window显示filter( tcp.analysis.zero_window )中过滤这些数据,但是我需要处理的数据量很容易导致wireshark(至less是32位版本)崩溃,并且分解文件并通过这些捕获乏味。
有无论如何有一个捕获filter的TCP零窗口消息?
我认为可以使用如下filter来完成:
"tcp[14] = 0 && tcp[15] = 0"
tcp[i]符号表示TCP头部的索引i 。 窗口大小位于TCP头14个字节之后。 欲了解更多信息,你可以看看man pcap-filter 。