Eu sei que antes de capturar pacotes, posso selecionar uma interface específica.
Gostaria de saber se existe algum filtro para distinguir diferentes interfaces depois de capturar pacotes?
Ou seja, no início capturo pacotes de todas as interfaces.
Depois disso, posso usar "algum filtro" para diferentes interfaces.
Alguém sabe sobre isso?
Responder1
O modo de captura "Linux preparado" não distingue de forma alguma entre pacotes de diferentes interfaces. Você só pode filtrar os resultados por endereço IP.
Responder2
Desde o Wireshark 1.8 e ao usar o formato de captura pcap-ng você pode usar arquivos frame.interface_id. É um número da interface da qual o quadro foi capturado. Para mapear o número para a interface real, consulte a janela Estatísticas > Resumo. A primeira interface da tabela possui o número 0 e as demais seguem.
Testei isso no Ubuntu 12.04.3 (kernel 3.2.0-57), Wireshark 1.10.3.
Para obter detalhes adicionais, consulte:
Responder3
Você pode filtrar um pouco quando estiver usando a captura cozida do Linux, usando o filtro SLL. Dê uma olhadahttp://wiki.wireshark.org/SLLe procure opções na janela Expressão de Filtro.
Embora você não possa filtrar exatamente cada interface, você pode, por exemplo, selecionar o tipo de interface com 'sll.hatype == 1' para ethernet ou 'sll.hatype == 512' para interfaces ppp (veja os valores no cabeçalho if_arp.h arquivo).