J'ai capturé un fichier pcap et l'affiche sur Wireshark. Je veux analyser ces paquets udp avec une colonne 'Longueur' égale à 443.
Sur Wirehark, j'essaye de trouver quel est le bon filtre.
udp && length 443 # invalid usage
udp && eth.len == 443 # wrong result
udp && ip.len == 443 # wrong result
Soit dit en passant, le filtre de wirehark pourrait-il s'appliquer directement sur le filtre de libpcap?
Tout cela est réalisable sur le filtre de Wirehark
frame.len==243 <- I use this
ip.len=229
udp.length==209
data.len=201