我想设置一个filter(所以我的日志文件不是巨大的),将只捕获传入的stream量。 我看了http://wiki.wireshark.org/CaptureFilters,但到目前为止一直无法find办法做到这一点。 有谁知道如何?
就像一个侧面的问题一样,当在Wireshark中login到多个文件时,以后可以查看完整的数据包信息吗?
您只想捕获目标为主机IP的stream量:
dst host <your Ip> 对不起,阅读,作为显示filter。 以上已被更正为CAPTUREfilter语法。
您only incoming traffic捕获only incoming traffic请求会导致一些含糊不清的情况。 “传入”一词在联网中至less有两种不同的含义。
特定接口/设备接收到的第一个数据包相对简单。 杰夫提供的答案就是你想要的。 您基本上只需要筛选具有与您的networking接口匹配的IP或MAC地址的数据包。
networking中传入的另一个常见用法是与有状态的防火墙相关。 这通常是由远程系统启动的所有活动stream量。 如果这是你真正想要的。 所有由远程系统发起的连接,以及与这些连接有关的所有数据包,那么我相信你是不走运的。 上次看PCAP的时候根本没有状态匹配的能力。 所以,如果这就是你正在寻找的,那么我相信你几乎没有运气。
由于tcpdumpfilter是捕获filter,并且可以通过tshark或tcpdump传递,以避免在稍后检查时运行仅用于捕获的GUI
[tcpdump] ether dst $YOUR_MAC_ADDRESS应该覆盖你想要的大部分。
[tcpdump] ether src not $YOUR_MAC_ADDRESS会更宽。 你也可以在你的机器上安装一些DHCP的东西,但它不应该是非常重要的。
是的,您可以像在实时模式下一样保存数据包并在将来检查它们。
您可以使用具有networking地址的捕获filter,而不是您的计算机的单个IP,如“dst net 10.0.0.0/21”。 这将捕获任何发送到10.0.0.1到10.0.7.254的数据包。
或者,您可以使用tshark使用-r ORIGINAL_FILE -W NEW_FILE -Y“显示filter”过滤捕获文件。 在显示filter中,您可以使用“ip.dst == 10.0.0.0 / 21”来获取与上面捕获filter相同的数据集。
请停止这个疯狂。 每次需要此function时,列出本地主机的mac / IP地址是非常不切实际的(更不用说在运行转储时这些细节可以更改的情况),并且pcap库已经具有此function。 您只需在filter中使用“入站”,您只会在界面上看到接收到的数据包,就像这样简单。