パケットをキャプチャする前に、特定のインターフェースを選択できることはわかっています。
パケットをキャプチャした後、異なるインターフェースを区別するためのフィルターはあるのでしょうか?
つまり、最初にすべてのインターフェースのパケットをキャプチャします。
その後、さまざまなインターフェースに「何らかのフィルター」を使用できます。
誰かそれについて知っていますか?
答え1
「Linux 調理済み」キャプチャ モードでは、異なるインターフェイスからのパケットを区別しません。結果は IP アドレスでのみフィルタリングできます。
答え2
Wireshark 1.8 以降、pcap-ng キャプチャ形式を使用する場合は、 を使用できますframe.interface_id
。これは、フレームがキャプチャされたインターフェイスの番号です。番号を実際のインターフェイスにマッピングするには、[統計] > [概要] ウィンドウを参照してください。テーブルの最初のインターフェイスの番号は 0 で、他のインターフェイスがそれに続きます。
これを Ubuntu 12.04.3 (カーネル 3.2.0-57)、Wireshark 1.10.3 でテストしました。
詳細については以下を参照してください。
答え3
Linuxのクックキャプチャを使用する場合、SLLフィルタを使用して少しフィルタリングすることができます。出典: Wiresharkをクリックし、フィルター式ウィンドウでオプションを探します。
各インターフェースを正確にフィルタリングすることはできませんが、たとえば、イーサネットの場合は「sll.hatype == 1」、ppp インターフェースの場合は「sll.hatype == 512」でインターフェースのタイプを選択できます (if_arp.h ヘッダー ファイルの値を参照)。