Фильтрация по доменам

Я хочу отфильтровать свой файл pcap своими доменами. Я хочу сказать, что я хочу видеть, что пакеты появляются на веб-сайте с ".com", ".org" или ".net".

Я попробовал: dns содержит "com", ip.src_host == com, ip.src_host == com, http содержит "com". Ни один из них не работал правильно.

Ответ 1

Предполагая, что это http-трафик, попробуйте http.host contains ".com"

Еще лучше, попробуйте http.host matches "\.com$"

Ни один из них не потребует разрешения DNS, так как они выполняют поиск на веб-узле.

От http://wiki.wireshark.org/DisplayFilters

The matches operator makes it possible to search for text in string fields 
and byte sequences using a regular expression, using Perl regular expression 
syntax. Note: Wireshark needs to be built with libpcre in order to be able to 
use the matches operator.