我正在尝试过滤包含sdp信息的wireshark捕获。信息可以在同一个数据包中多次出现,我试图只过滤初始值。
作为一个更具体的例子,sdp.media.port属性可能在具有不同值的相同数据包中多次出现,例如,首先是12004用于音频,然后是12006用于图像。设置sdp.media.port == 12004或sdp.media.port == 12006的过滤器将选择此数据包。
过滤器只选择12006作为初始值的数据包的语法是什么?如果设置为12006,此过滤器将忽略上述数据包,但如果设置为12004
,则会选择此数据包答案 0 :(得分:0)
如果我理解正确,您需要选择数据包,其中Media Type:audio包含值12004.
在这种情况下,您可以使用以下显示过滤器:
(sdp.media.media ==“audio”)&& (sdp.media.port == 12004)
顺便说一句
您可以使用TShark创建列表:
只出现第一次:
tshark -r test.pcap -Y sdp.media.port -T fields -e frame.number -e sdp.media.media -e sdp.media.port -E occurrence = f
3音频5004
6音频23010
所有事件:
tshark -r test.pcap -Y sdp.media.port -T fields -e frame.number -e sdp.media.media -e sdp.media.port -E occurrence = a
3音频,视频5004,5006
6音频,视频23010,23030
您可以在man-page找到有关TShark的更多信息。