着信トラフィックのみをキャプチャするフィルターをセットアップしようとしています(ログファイルが大きくないため)。私は http://wiki.wireshark.org/CaptureFilters を調べましたが、これまでのところ、これを行う方法を見つけることができていません。誰か知っていますか?
余談ですが、Wiresharkで複数のファイルにログを記録するときに、後で完全なパケット情報を表示できますか?
ホストのIP宛てのトラフィックのみをキャプチャしたい場合:
dst Host <your Ip>
申し訳ありませんが、それを表示フィルターとしてお読みください。上記はCAPTUREフィルター構文で修正されています。
キャプチャのリクエストonly incoming traffic
は、あいまいさをもたらします。着信ワードは、ネットワーキングで少なくとも2つの異なる意味を持つ場合があります。
特定のインターフェイス/デバイスが受信する最初の意味のあるパケットは比較的単純です。答え ジェフが提供する はあなたが望むものです。基本的には、ネットワークインターフェイスに一致するIPアドレスまたはMACアドレスを持つパケットをフィルタリングする必要があるだけです。
ステートフルファイアウォールに関連するため、ネットワークでの着信の一般的な使用法はもう1つあります。これは通常、リモートシステムによって開始されたすべてのアクティビティトラフィックです。これが実際に必要なものである場合。リモートシステムによって開始されたすべての接続、およびそれらの接続に関連するすべてのパケットについては、運が悪いと思います。前回見たとき [〜#〜] pcap [〜#〜] には、ステートフルなマッチング機能がまったくありませんでした。だからそれがあなたが探しているものなら、私はあなたがかなり運が悪いと信じています。
tcpdumpフィルターはキャプチャフィルターであり、tsharkまたはtcpdumpを介して渡すこともできるため、後で確認する場合にキャプチャーのみのGUIを実行する必要がありません
[tcpdump] ether dst $YOUR_MAC_ADDRESS
は、必要なもののほとんどをカバーする必要があります。
[tcpdump] ether src not $YOUR_MAC_ADDRESS
の方が広いでしょう。そこにあなたのマシンからいくつかのDHCPのものがあるかもしれませんが、それはそれほどメジャーではないはずです。
はい、パケットを保存して、ライブモードと同じように将来検査することができます。
「dst net 10.0.0.0/21」などのマシンの単一IPの代わりに、ネットワークアドレスを使用してキャプチャフィルターを使用できます。これにより、10.0.0.1〜10.0.7.254に送信されるパケットがキャプチャされます。
または、tsharkを使用して、-r ORIGINAL_FILE -w NEW_FILE -Y "display filters"を使用してキャプチャファイルをポストフィルタリングできます。表示フィルターでは、 "ip.dst == 10.0.0.0/21"を使用して、上記のキャプチャフィルターと同じデータセットを取得します。