我有一个问题,我试图追查,我相信问题是物理networking硬件。 我已经阅读了pktcap-uw命令中的VMWare文档,我知道我可以使用它将stream量转储到一个可以用Wireshark查看的文件,但是我得到的pcap有点奇怪。
看文档,我想看到端口80上的两个IP地址(IP A和IP B)之间的stream量,我可以使用–ip开关,但是如果我有–ip A –ip B,那是一个布尔AND或布尔OR。
tcpdump允许你指定OR或AND,并使用圆括号做一个完整的布尔expression式。 对于pktcap-uw还有–dstip和–srcip,但是如果使用tcpdump equivelant,通常只能获得一半的对话。
什么是正确的语法?