我遇到了一个问题,正在尝试解决,我认为问题出在物理网络硬件上。我已阅读虚拟机有关 pktcap-uw 命令的文档,我知道我可以用它将流量转储到一个文件,然后可以用 Wireshark 查看,但我得到的 pcaps 有点奇怪。
查看文档,我只想查看端口 80 上两个 IP 地址(IP A 和 IP B)之间的流量,并且我可以使用 --ip 开关,但如果我有 --ip A --ip B,这是一个布尔 AND 还是布尔 OR。
tcpdump 允许您指定 OR 或 AND 并使用括号来执行完整的布尔表达式。对于 pktcap-uw,还有 --dstip 和 --srcip,但如果您使用 tcpdump 等效项,通常只能获得一半的对话。
正确的语法是什么?
答案1
我刚刚用 pktcap-uw 测试过。
如果我有--ip A --ip B,这是一个布尔AND还是布尔OR。
当您指定两次 --ip 时,仅使用最后指定的选项。
如果您指定不同类型的选项,例如--ip 和--tcpport,则它们是AND关系。
pktcap-uw 有一些 VProbe 选项。我最好的猜测是,您可以手动编译一个 VProbe 脚本,过滤您想要的流量并将其提供给 pktcap-uw。
在这里找到了一个带有 VProbe 工具包的 git 存储库: https://github.com/vmware/vprobe-toolkit/