着信パケットのみをキャプチャするWiresharkフィルター？

キャプチャのリクエストonly incoming trafficは、あいまいさをもたらします。着信ワードは、ネットワーキングで少なくとも2つの異なる意味を持つ場合があります。

特定のインターフェイス/デバイスが受信する最初の意味のあるパケットは比較的単純です。答え ジェフが提供する はあなたが望むものです。基本的には、ネットワークインターフェイスに一致するIPアドレスまたはMACアドレスを持つパケットをフィルタリングする必要があるだけです。

ステートフルファイアウォールに関連するため、ネットワークでの着信の一般的な使用法はもう1つあります。これは通常、リモートシステムによって開始されたすべてのアクティビティトラフィックです。これが実際に必要なものである場合。リモートシステムによって開始されたすべての接続、およびそれらの接続に関連するすべてのパケットについては、運が悪いと思います。前回見たとき [〜＃〜] pcap [〜＃〜] には、ステートフルなマッチング機能がまったくありませんでした。だからそれがあなたが探しているものなら、私はあなたがかなり運が悪いと信じています。

tcpdumpフィルターはキャプチャフィルターであり、tsharkまたはtcpdumpを介して渡すこともできるため、後で確認する場合にキャプチャーのみのGUIを実行する必要がありません

[tcpdump] ether dst $YOUR_MAC_ADDRESSは、必要なもののほとんどをカバーする必要があります。

[tcpdump] ether src not $YOUR_MAC_ADDRESSの方が広いでしょう。そこにあなたのマシンからいくつかのDHCPのものがあるかもしれませんが、それはそれほどメジャーではないはずです。

はい、パケットを保存して、ライブモードと同じように将来検査することができます。

「dst net 10.0.0.0/21」などのマシンの単一IPの代わりに、ネットワークアドレスを使用してキャプチャフィルターを使用できます。これにより、10.0.0.1〜10.0.7.254に送信されるパケットがキャプチャされます。

または、tsharkを使用して、-r ORIGINAL_FILE -w NEW_FILE -Y "display filters"を使用してキャプチャファイルをポストフィルタリングできます。表示フィルターでは、 "ip.dst == 10.0.0.0/21"を使用して、上記のキャプチャフィルターと同じデータセットを取得します。