取消
显示结果 
搜索替代 
您的意思是: 
cancel
2158
查看次数
18
有帮助
1
评论
suzhouxiaoniu
Spotlight
Spotlight
软件下载--免费
082116iy9rzfjyiwyjojwv.jpg
两种过滤器:
1:抓包(捕获)过滤器:Capture Filter
使用 伯克利包过滤(Berkeley Packet Filter,BPF)语言,依赖于使用BPF的libpcap,Winpcap库。
2:显示过滤器:Display Filter
显示过滤器的语法要迟于BPF,二者并不相同,虽然都称为“表达式”。
抓包过滤器设置:
082332sbwit4aebuuj447z.png
082332di13t1e11s4zlkle.png
二层常见过滤器总结:
1:ether host <> :抓取指定的以太网流量(源或目的MAC地址)
如: ether host 1C-6F-65-5D-EB-94
2:ether dst <> :抓取去往指定目的MAC的以太网流量
如: ether dst host 1C-6F-65-5D-EB-94
或: ether dst 1C-6F-65-5D-EB-94
3:ether src<> :抓取来源指定源MAC的以太网流量
如: ether src 1C-6F-65-5D-EB-94
4:ether broadcast :抓取以太网广播流量 ?
5:ether multicast :抓取以太网多播流量 ?
6:ether proto <> :所抓指定的以太网协议类型的流量
如:ether proto 0x0806 ether proto 0x0800 ether proto 0x86dd
7:vlan <>:只抓取指定vlan的流量
如: vlan 2 ! vlan 2 vlan 2 && vlan 3 ? vlan 2 || vlan 3
not vlan 2 vlan 2 and vlan 3 ? vlan 2 or vlan 3
三层常见过滤器总结:
1:ip、ip6:只抓取IPv4或者IPv6的数据包
2:host <>:只抓取来源源于或发往所指定的主机名或IP地址的流量
如:host 192.168.1.1 或 host www.baidu.com 或 host xiaoniupc
3:dst host <>:只抓取发往指定主机名或IP地址的流量
4:src host <>:只抓取来源于指定主机名或IP地址的流量
5:gateway <>:只抓取穿过host的流量 ?
6:net<>:只抓取来源于或发往指定网络号的流量
如:net 192.168.1.0/24 或:net 192.168.1.0 mask 255.255.255.0
7:dst net <>:只抓取发往指定网络号的流量
8:src net <>:只抓取来源于指定网络号的流量
9:ip broadcast :只抓取IP广播包
10:ip multicast :只抓取IP多播包
11:ip proto <>:只抓取IP报头的协议类型字段值等于特定值的数据包
如:常见协议号:1、2、6、17、88、89、47、112等 ?
12:icmp [icmptype]==<>:只抓取特定类型的ICMP数据包
如: icmp [icmptype]==0 或 icmp [icmptype] == icmp-reply
如: icmp [icmptype]==8 或 icmp [icmptype] == icmp-echo
评论
one-time
Level 13
Level 13
感谢大牛分享,谢谢!
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接