Ich weiß, dass ich vor dem Erfassen von Paketen eine bestimmte Schnittstelle auswählen kann.
Ich frage mich, ob es einen Filter gibt, um verschiedene Schnittstellen zu unterscheiden, nachdem ich Pakete erfasst habe?
Das heißt, ich erfasse zu Beginn die Pakete aller Schnittstellen.
Danach kann ich „einige Filter“ für verschiedene Schnittstellen verwenden.
Kennt sich jemand damit aus?
Antwort1
Der Erfassungsmodus „Linux cooked“ unterscheidet in keiner Weise zwischen Paketen von verschiedenen Schnittstellen. Sie können die Ergebnisse nur nach IP-Adresse filtern.
Antwort2
Seit Wireshark 1.8 und bei Verwendung des pcap-ng-Erfassungsformats können Sie verwenden frame.interface_id. Dies ist eine Nummer der Schnittstelle, von der der Frame erfasst wurde. Um die Nummer der tatsächlichen Schnittstelle zuzuordnen, siehe das Fenster „Statistik > Zusammenfassung“. Die erste Schnittstelle in der Tabelle hat die Nummer 0 und die anderen folgen.
Ich habe dies auf Ubuntu 12.04.3 (Kernel 3.2.0-57), Wireshark 1.10.3 getestet.
Weitere Einzelheiten finden Sie unter:
Antwort3
Sie können ein wenig filtern, wenn Sie Linux Cooked Capture verwenden, indem Sie den SLL-Filter verwenden. Sehen Sie sich das an:http://wiki.wireshark.org/SLLund suchen Sie im Fenster „Filterausdruck“ nach Optionen.
Obwohl Sie nicht jede Schnittstelle genau filtern können, können Sie beispielsweise den Schnittstellentyp mit „sll.hatype == 1“ für Ethernet oder „sll.hatype == 512“ für PPP-Schnittstellen auswählen (siehe Werte in der Header-Datei if_arp.h).