使用 tcpdump/tshark 进行捕获过滤器过滤

使用 tcpdump/tshark 进行捕获过滤器过滤

我想过滤如下结构的 IP 消息(见下图):

  1. IP 之上的 GRE
  2. GRE 包含 IP 和端口 1234 上的 UDP(下图中的端口 80)。

我该如何过滤此类消息?

在此处输入图片描述

PS操作系统基于Windows

答案1

我不确定你说的“在 GRE 之上”是什么意思,所以我将两者都包括在内。

  1. 如果您尝试捕获往返于 GRE 的数据包,并且您知道 GRE 隧道的接口,您可以tcpdump -i GRE_INTERFACE host IP显示往返于“IP”的所有流量,如果您只希望流量流向它,请将主机更改为目标。要获取端口 1234 上的 UDP 流量tcpdump -i GRE_INTERFACE host IP and udp and port 1234

  2. 如果您尝试捕获 GRE 数据包本身,您可以这样做tcpdump -i any proto gre,如果您有太多 GRE 流量并希望通过特定隧道查看它,请执行tcpdump -i any proto gre and host IP_OF_GRE_TUNNEL_REMOTE

我希望这有帮助

相关内容