我知道在捕获数据包之前,我可以选择特定的接口。
请问捕获数据包后是否有过滤器可以区分不同的接口?
就是一开始我抓取所有接口的包。
之后,我可以对不同的接口使用“一些过滤器”。
有人知道吗?
答案1
“Linux 熟”捕获模式不会以任何方式区分来自不同接口的数据包。您只能通过 IP 地址过滤结果。
答案2
从 Wireshark 1.8 开始,使用 pcap-ng 捕获格式时,您可以使用frame.interface_id。它是捕获帧的接口编号。要将编号映射到实际接口,请参阅“统计信息”>“摘要”窗口。表中的第一个接口的编号为 0,其他接口的编号紧随其后。
我在 Ubuntu 12.04.3(内核 3.2.0-57)、Wireshark 1.10.3 上进行了测试。
有关详细信息,请参阅:
答案3
在使用 Linux 熟捕获时,您可以使用 SLL 过滤器进行一些过滤。请查看http://wiki.wireshark.org/SLL,然后在“过滤表达式”窗口中查找选项。
虽然您无法准确地过滤每个接口,但是您可以例如使用“sll.hatype == 1”为以太网选择接口类型,或者使用“sll.hatype == 512”为 ppp 接口选择接口类型(请参阅 if_arp.h 头文件中的值)。