一个关于wireshark过滤的问题

如果我猜的没错的话，[]应该表示的是字节？ tcp[0:2] 表示tcp头 从0开始，2个字节长度的数据（源端口 在1500 ~ 1550 之间）。 tcp[2:2] 表示tcp头 从2开始，2个字节长度的数据（目的端口 在 1500 ~ 1550）。 【 在 bjtulq (与我同行lq) 的大作中提到: 】 : 标 题: 一个关于wireshark过滤的问题 : 发信站: 北邮人论坛 (Tue Mar 1 14:56:04 2011), 站内 : : (tcp[0:2] > 1500 and tcp[0:2] < 1550) or (tcp[2:2] > 1500 and tcp[2:2] < 1550) : 其中tcp[0:2] 是什么意思啊，谢谢大家了 : -- : : ※ 来源:·北邮人论坛 http://bbs.byr.cn·[FROM: 211.71.74.*]

补充一句：提问前先google一下，自己努力找一下答案。 http://wiki.wireshark.org/CaptureFilters 【 在 BookMoth (书中蠹鱼) 的大作中提到: 】 : 标 题: Re: 一个关于wireshark过滤的问题 : 发信站: 北邮人论坛 (Tue Mar 1 15:50:34 2011), 站内 : : 如果我猜的没错的话，[]应该表示的是字节？ : tcp[0:2] 表示tcp头 从0开始，2个字节长度的数据（源端口 在1500 ~ 1550 之间）。 : tcp[2:2] 表示tcp头 从2开始，2个字节长度的数据（目的端口 在 1500 ~ 1550）。 : : 【 在 bjtulq (与我同行lq) 的大作中提到: 】 : : 标 题: 一个关于wireshark过滤的问题 : : 发信站: 北邮人论坛 (Tue Mar 1 14:56:04 2011), 站内 : : : : (tcp[0:2] > 1500 and tcp[0:2] < 1550) or (tcp[2:2] > 1500 and tcp[2:2] < 1550) : : 其中tcp[0:2] 是什么意思啊，谢谢大家了 : : -- : : : : ※ 来源:·北邮人论坛 http://bbs.byr.cn·[FROM: 211.71.74.*] : : : -- : : ※ 来源:·北邮人论坛 bbs.byr.cn·[FROM: 211.101.48.*]