Comment filtrer des packets qui contiennent un mot clé avec Wireshark ?
Quel filtre faut-il appliquer à Wireshark pour afficher tous les packets qui contiennent un mot clé spécifique ?
Vous pouvez utiliser l'opérateur contain qui permet de rechercher une séquence de caractères, exprimée sous forme de chaîne (entre guillemets ou non), ou d'octets, exprimée sous forme d'un tableau d'octets, ou un seul caractère, exprimé sous forme de constante de caractère de type C.
Par exemple, pour rechercher une URL HTTP, le filtre suivant peut être utilisé :
http contains "https://www.collaborativejob.com"
Remarque : L'opérateur contain ne peut pas être utilisé sur avec nombres ou des adresses IP.
L'opérateur matches ou ~ permet à un filtre de s'appliquer à une expression régulière. L'opérateur matches n'est implémenté que pour les protocoles et pour les champs de protocole avec une représentation sous forme de chaîne de texte. Les correspondances ne respectent pas la casse par défaut.
Par exemple, pour rechercher un User-Agent WAP WSP, vous pouvez écrire:
wsp.user_agent matches "1fo"