Я пытаюсь настроить фильтр (чтобы мои файлы журналов не были большими), который будет захватывать только входящий трафик. Я смотрел на http://wiki.wireshark.org/CaptureFilters но пока не удалось найти способ сделать это. Кто-нибудь знает как?
В качестве побочного вопроса, можете ли вы просмотреть полную информацию о пакете позже при входе в несколько файлов в Wireshark?
вы хотели бы захватывать только трафик, предназначенный для IP-адреса вашего хоста:
dst host <your Ip>
Извините, прочтите это как фильтр отображения. указанное выше было исправлено для синтаксиса фильтра CAPTURE.
Ваш запрос на захват only incoming traffic приводит к некоторой двусмысленности. Слово входящий может иметь как минимум два разных значения в сети.
Первое значение пакетов, полученных конкретным интерфейсом / устройством, относительно простое. Ответ Джефф предоставляет это то, что вы хотите. Вам просто нужно отфильтровать пакеты, у которых есть IP или MAC-адрес, соответствующий вашему сетевому интерфейсу.
Существует еще одно распространенное использование входящего трафика в сети, связанное с межсетевыми экранами с отслеживанием состояния. Обычно это весь трафик активности, инициированный удаленной системой. Если это то, чего вы действительно хотите. Все соединения, инициированные удаленной системой, и все пакеты, относящиеся к этим соединениям, я считаю, что вам не повезло. В последний раз смотрел PCAP не имел возможности сопоставления с отслеживанием состояния вообще. Так что если это то, что вы ищете, то я считаю, что вам в значительной степени не повезло.
Поскольку фильтры tcpdump являются фильтрами захвата, их также можно передать через tshark или tcpdump, чтобы избежать запуска графического интерфейса только для захвата, если вы будете просматривать позже
[tcpdump] ether dst $YOUR_MAC_ADDRESS должен охватывать большую часть того, что вы хотите.
[tcpdump] ether src not $YOUR_MAC_ADDRESS было бы шире. Вы также можете использовать некоторые DHCP-файлы с вашего компьютера, но они не должны быть очень важными.
Да, вы можете сохранять пакеты и проверять их в будущем, как и в режиме реального времени.
Вы можете использовать фильтр захвата с сетевым адресом вместо единственного IP-адреса вашего компьютера, например "dst net 10.0.0.0/21". Это захватит все пакеты, отправляемые с 10.0.0.1 по 10.0.7.254.
В качестве альтернативы вы можете использовать tshark для пост-фильтрации файла захвата с помощью -r ORIGINAL_FILE -w NEW_FILE -Y «фильтры отображения». В фильтрах отображения вы должны использовать «ip.dst == 10.0.0.0 / 21», чтобы получить тот же набор данных, что и с фильтром захвата выше.
Пожалуйста, прекратите это безумие. Очень непрактично перечислять mac / IP-адрес локального хоста каждый раз, когда вам нужна эта функция (не говоря уже о случаях, когда эти детали могут измениться во время выполнения дампа), и библиотека pcap уже имеет эту возможность. Вам просто нужно использовать «входящий» в фильтре, и вы увидите только полученные пакеты на интерфейсе, вот и все.