关于那个GET过滤：我得想法是这样的，假设 dataSet的的值是0001，但单位是4个字节，那么0001代表4个字节。这个时候呢，经过如下运算： tcp[12:1]取的是从第12个(从0计数)字节开始的1个字节(8位)： dataset:0001(4位) Reserved:000(3位) NS: 0(1位) 也就是 0001 0000 & 0xf0 其实也就确定前4位的值就可以了，因为后4位也是0，结果是： 0001 0000 右移两位就是0000 0100 值就是4。可以看到经过运算后确实是4个字节。结合上面的运算再想想原理应该是这样的： tcp[12:1] 相当于把dataset 左移动(取了一个字节,而不是前4位)了4位(相当于放大了16倍)，实际上我们只需要放大4倍(单位是4字节)的值。这个时候只要右移2位，再缩小4倍，就是我们要的值了。

作者回复: 是的，不过对https就无能为力了

2019-08-17



1

magicnum

为啥不是12:0呢，这个语法也在RFC规范里吗

作者回复: 这个与RFC无关，参见http://biot.com/capstats/bpf.html

2019-06-16

2

1

奕

基于tcp头中的某个字节的值，进行过滤这个有点复杂了，需要对 tcp 协议理解透彻

作者回复: 是的，第5部分课程学完后会对TCP头部有详细的了解

2019-06-16

3

1

[ ]

tcp[12:1]&0xf0)>>2 这里的 >>2 可以这么理解吧，先右移 >>4 取前 4 位 (data offset 由一个字节前四位表示) 再 *4 (相当于 <<2 ) 算出 header 总字节数，最后结果相当于 >>2

作者回复: >>2 的原因，是data offset的单位不是字节，而是word，也就是4个字节的意思，因此>>2是乘以4的意思

2021-01-11

3



我来也

我最近也有个疑问：tcpdump工作在哪一层？查的资料好像说是工作在网络层。不知道对不对。老师说的驱动层是数据链路层么？（七层网络模型中的层概念） tcpdump截取的包在wireshark上看，一个包是可以超过1500字节的。（不知道是不是软件显示层面做的效果）现在也忘记tcpdump终端上显示的包长有没有超过1500了。😭

作者回复: 没有明确的层，因为： 1、tcpdump通过libpcap获取到报文头，它的BPF过滤器也是通过libpcap实现的； 2、如同wireshark，tcpdump也可以基于每层网络报文头进行分析。

2020-09-12

2



旺旺

用 gateway 192.168.1.1 指明gateway时提示'gateway' requires a name. 意思是gateway上面的用法不对吗？

作者回复: gateway后面跟着的不是IP地址，而是必须可以解析为MAC地址的名字，当下很少被使用

2020-02-16





LEON

老师请教个问题。通过tcpdump 在抓包的时候能否定制策略如果数据包中有某一个head在进行抓包？目的是根据定位缩小抓包数量。

作者回复: 目前的tcpdump还做不到，tcpdump的捕获过滤器与wireshark是一样的

2020-01-13





吴澎湖

为什么mac版本的wireshairk安装一段时间后，再次打开就会非常卡呀

作者回复: sorry，没有使用过mac系统。另外，你是不是设定了输出log？为了解析SSL，设置的log文件？如果那个log文件很大，那么每次wireshark解析ssl时，会解析log文件，导致很慢。如果是这样，你可以清理下log文件

2019-12-06





收起评论

课程相关资料下载地址

全部留言(21)