2

Я знаю, что перед захватом пакетов я могу выбрать конкретный интерфейс.

Интересно, есть ли фильтр для различения различных интерфейсов после захвата пакетов?

То есть в начале я перехватываю пакеты всех интерфейсов.

После этого я могу использовать «какой-то фильтр» для разных интерфейсов.

Кто-нибудь знает об этом?

3 ответа3

2

Начиная с Wireshark 1.8 и при использовании формата захвата pcap-ng вы можете использовать frame.interface_id . Это номер интерфейса, с которого был получен кадр. Чтобы отобразить номер на фактический интерфейс, см. Окно «Статистика»> «Сводка». Первый интерфейс в таблице имеет номер 0, а остальные следуют.

Я проверял это на Ubuntu 12.04.3 (ядро 3.2.0-57), Wireshark 1.10.3.

Для получения дополнительной информации см .:

0

Режим захвата "Linux cooked" никак не различает пакеты от разных интерфейсов. Вы можете фильтровать результаты только по IP-адресу.

0

Вы можете немного отфильтровать, когда вы используете готовый захват Linux, используя фильтр SLL. Взгляните на http://wiki.wireshark.org/SLL и найдите варианты в окне «Выражение фильтра».

Хотя вы не можете точно фильтровать каждый интерфейс, вы можете, например, выбрать тип интерфейса с помощью 'sll.hatype == 1' для Ethernet или 'sll.hatype == 512' для интерфейсов ppp (см. Значения в заголовке if_arp.h). файл).

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .