패킷을 캡처하기 전에 특정 인터페이스를 선택할 수 있다는 것을 알고 있습니다.
패킷을 캡처한 후 다른 인터페이스를 구별할 수 있는 필터가 있는지 궁금합니다.
즉, 처음에는 모든 인터페이스의 패킷을 캡처합니다.
그 후에는 다양한 인터페이스에 "일부 필터"를 사용할 수 있습니다.
그것에 대해 아는 사람이 있나요?
답변1
"Linux Cooked" 캡처 모드는 다른 인터페이스의 패킷을 어떤 방식으로도 구별하지 않습니다. IP 주소로만 결과를 필터링할 수 있습니다.
답변2
Wireshark 1.8부터 pcap-ng 캡처 형식을 사용하는 동안 frame.interface_id. 프레임이 캡처된 인터페이스의 번호입니다. 숫자를 실제 인터페이스에 매핑하려면 통계 > 요약 창을 참조하세요. 표의 첫 번째 인터페이스에는 숫자 0이 있고 다른 인터페이스에는 숫자가 있습니다.
저는 이것을 Ubuntu 12.04.3(커널 3.2.0-57), Wireshark 1.10.3에서 테스트했습니다.
자세한 내용은 다음을 참조하세요.
답변3
Linux 쿠킹 캡처를 사용할 때 SLL 필터를 사용하여 약간 필터링할 수 있습니다. 보세요http://wiki.wireshark.org/SLL을 클릭하고 필터 표현식 창에서 옵션을 찾으세요.
각 인터페이스를 정확하게 필터링할 수는 없지만 예를 들어 이더넷의 경우 'sll.hatype == 1' 또는 ppp 인터페이스의 경우 'sll.hatype == 512'를 사용하여 인터페이스 유형을 선택할 수 있습니다(if_arp.h 헤더의 값 참조). 파일).