我知道在捕獲資料包之前,我可以選擇特定的介面。
我想知道抓包後是否有過濾器來區分不同的介面?
也就是說,一開始我抓的是所有介面的資料包。
之後,我可以對不同的介面使用“一些過濾器”。
有人知道嗎?
答案1
“Linux熟”捕獲模式不會以任何方式區分來自不同介面的資料包。您只能按 IP 位址過濾結果。
答案2
從 Wireshark 1.8 開始,在使用 pcap-ng 擷取格式時,您可以使用frame.interface_id.它是捕獲幀的介面的編號。若要將數字對應到實際接口,請參閱統計 > 摘要視窗。表中第一個介面的編號為 0,其他介面依序編號。
我在 Ubuntu 12.04.3(核心 3.2.0-57)、Wireshark 1.10.3 上對此進行了測試。
有關更多詳細信息,請參閱:
答案3
當您使用 Linux 熟捕獲時,您可以使用 SLL 過濾器進行一些過濾。看一眼http://wiki.wireshark.org/SLL,然後在“過濾器表達式”視窗中尋找選項。
儘管您無法精確過濾每個接口,但您可以例如選擇帶有“sll.hatype == 1”的以太網接口類型或“sll.hatype == 512”的ppp 接口接口類型(請參閱if_arp.h 標頭中的值)文件)。