一.现象
在wireshark里面我们经常使用“查找”功能去搜索包(Packets)里面的字符串,如下图所示:
但很多时候我们会发现无论怎样设置都没办法搜索到我们想要的字符串。比如上图中的Unmasked data区域里面有"open"这个字符串,但是无论我们是设置"分组详情"还是"分组字节流"都没办法定位到这个Packet。
二.原因
要找到导致该问题的原因,我们要首先了解wireshark里面"分组列表"、"分组详情"和"分组字节流"分别表示什么。
简单来讲,设置为"分组列表"后,就是只搜索下图所示的区域:
设置为"分组详情"后,就是只搜索下图所示的区域:
设置为"分组字节流"后,就是只搜索下图所示的区域:
所以像下图这样,truncated(截断)和乱码的数据,无论是设置"分组详情"还是"分组字节流",就都搜索不到了。
三.解决方法
查找的时候不要设置'字符串",设置为''显示过滤器',然后过滤条件设置为:data-text-lines contains "字符串内容"(如果没有Line-based text data,则设置为:data contains "字符串内容"),如下图所示:
这样就能找到我们想要找到的内容
