Wireshark 过滤器仅捕获传入的数据包？

Question 1

您可能只想捕获发往您主机 IP 的流量：

dst host <your Ip>

抱歉，将其读作显示过滤器。以上内容已针对 CAPTURE 过滤器语法进行了更正。

Answer

您可能只想捕获发往您主机 IP 的流量：

dst host <your Ip>

抱歉，将其读作显示过滤器。以上内容已针对 CAPTURE 过滤器语法进行了更正。

Question 2

您的捕获请求only incoming traffic导致了一些歧义。在网络中，“传入”一词可能至少有两种不同的含义。

特定接口/设备收到的第一个含义数据包相对简单。答案Jeff 提供就是你想要的。基本上你只需要过滤那些 IP 或 MAC 地址与你的网络接口匹配的数据包。

网络中还有另一种常见的传入用法，它与状态防火墙有关。这通常是由远程系统发起的所有活动流量。如果这是您真正想要的。由远程系统发起的所有连接，以及与这些连接相关的所有数据包，那么我相信您运气不佳。上次我查看投射式电容根本没有状态匹配能力。所以如果这就是你所寻找的，那么我相信你很不走运。

Answer

您的捕获请求only incoming traffic导致了一些歧义。在网络中，“传入”一词可能至少有两种不同的含义。

特定接口/设备收到的第一个含义数据包相对简单。答案Jeff 提供就是你想要的。基本上你只需要过滤那些 IP 或 MAC 地址与你的网络接口匹配的数据包。

网络中还有另一种常见的传入用法，它与状态防火墙有关。这通常是由远程系统发起的所有活动流量。如果这是您真正想要的。由远程系统发起的所有连接，以及与这些连接相关的所有数据包，那么我相信您运气不佳。上次我查看投射式电容根本没有状态匹配能力。所以如果这就是你所寻找的，那么我相信你很不走运。

Question 3

因为 tcpdump 过滤器是捕获过滤器，并且可以通过 tshark 或 tcpdump 传递，以避免在稍后查看时仅为捕获而运行 GUI

[tcpdump] ether dst $YOUR_MAC_ADDRESS应该可以满足你的大部分需求。

[tcpdump] ether src not $YOUR_MAC_ADDRESS会更广泛。您也可以将机器上的某些 DHCP 内容放在那里，但应该不会太重要。

是的，您可以保存数据包并在将来检查它们，就像在实时模式下一样。

Answer

因为 tcpdump 过滤器是捕获过滤器，并且可以通过 tshark 或 tcpdump 传递，以避免在稍后查看时仅为捕获而运行 GUI

[tcpdump] ether dst $YOUR_MAC_ADDRESS应该可以满足你的大部分需求。

[tcpdump] ether src not $YOUR_MAC_ADDRESS会更广泛。您也可以将机器上的某些 DHCP 内容放在那里，但应该不会太重要。

是的，您可以保存数据包并在将来检查它们，就像在实时模式下一样。

Question 4

请停止这种疯狂的行为。每次需要此功能时都列出本地主机的 mac/IP 地址是非常不切实际的（更不用说在运行转储时这些详细信息可能会发生变化的情况），而 pcap 库已经具备此功能。您只需在过滤器中使用“入站”，您就会在接口上只看到接收到的数据包，就这么简单。

Answer

请停止这种疯狂的行为。每次需要此功能时都列出本地主机的 mac/IP 地址是非常不切实际的（更不用说在运行转储时这些详细信息可能会发生变化的情况），而 pcap 库已经具备此功能。您只需在过滤器中使用“入站”，您就会在接口上只看到接收到的数据包，就这么简单。

相关内容