Sé que antes de capturar paquetes, puedo seleccionar una interfaz específica.
Me pregunto si existe algún filtro para distinguir diferentes interfaces después de capturar paquetes.
Es decir, al principio capturo paquetes de todas las interfaces.
Después de eso, puedo usar "algún filtro" para diferentes interfaces.
¿Alguien sabe sobre eso?
Respuesta1
El modo de captura "Linux preparado" no distingue de ninguna manera entre paquetes de diferentes interfaces. Solo puedes filtrar los resultados por dirección IP.
Respuesta2
Desde Wireshark 1.8 y mientras usa el formato de captura pcap-ng, puede usar frame.interface_id. Es un número de la interfaz desde la que se capturó el fotograma. Para asignar el número a la interfaz real, consulte la ventana Estadísticas > Resumen. La primera interfaz de la tabla tiene el número 0 y la otra le sigue.
Probé esto en Ubuntu 12.04.3 (kernel 3.2.0-57), Wireshark 1.10.3.
Para obtener detalles adicionales, consulte:
Respuesta3
Puede filtrar un poco cuando utiliza la captura preparada de Linux, utilizando el filtro SLL. Echa un vistazo ahttp://wiki.wireshark.org/SLLy busque opciones en la ventana Expresión de filtro.
Aunque no puede filtrar exactamente cada interfaz, puede, por ejemplo, seleccionar el tipo de interfaz con 'sll.hatype == 1' para ethernet o 'sll.hatype == 512' para interfaces ppp (consulte los valores en el encabezado if_arp.h archivo).