他のプロトコルとして識別できないUDPトラフィックのみをキャプチャする

私は適用しました udp で説明されているように、単にUDPトラフィックをキャプチャするためのフィルタ Wireshark Wiki ：

UDPベースのトラフィックのみを表示します。 udp

ただし、これはUDPトラフィックを表示するだけではありません。 UDPトラフィックと、UDPの上に構築されているものすべてが表示されます。

私は自分のUDPトラフィックのみを分析したいのですが、まだディセクタを実装していないので、他のプロトコルとして識別できないUDPトラフィックのみを表示する方法を探しています。

除外するプロトコルのリストを追加しないようにします。私のフィルタでは他のプロトコルの長いリストを避けてください。

udp && !http && !dhcpv6 && !bootp && !smb && !cldap && !mdns && !llmnr

他のプロトコルとして識別できないUDPトラフィックのみをキャプチャするにはどうすればよいですか。

あなたがWiresharkのを使って作業していることに最初に注意してください 表示 libpcapのキャプチャフィルタとは別の（そして非常に異なる）フィルタ。 （libpcap自体には udp フィルタは、しかしそれは非常に少数のプロトコルを理解しています。それで、あなたはすべてを捉えていますが、表示されたリストをフィルタリングしています。

Wiresharkでは、「フレーム」セクションには、解剖されたパケットに関するさまざまなメタデータがあります。次に例を示します。

Protocols in frame: eth:ethertype:ip:udp:dns

これは frame.protocols フィールド。今すぐ適用 正規表現 使用して一致 ~ または matches：

udp && frame.protocols ~ ":udp$"

これは、最後に認識されたプロトコルがＵＤＰ（すなわち、ＵＤＰ）であった全てのパケットと一致するだろう。 frame.protocols テキストで終わる :udp ）注意してください - トラフィックが、あいまいなプロトコルとして誤って検出される可能性があります。

（ udp && 接頭辞は最適化です。プロトコルの一致は、文字列の正規表現の一致よりも、UDP以外のトラフィックを破棄するのに効率的な場合があります。