捕获过滤器指的是提前设置好过滤规则,只捕获符合过滤规则的报文
语法说明
- BPF语法(Berkeley Packet Filter)
基于libpcacp/wincap库 - 类型Type
host、net、post - 方向Dir
src、dst - 协议Proto
ether、ip、tcp、udp、http、ftp - 逻辑运算符
&&与
||或
!非
举例说明
src host 192.168.1.1 && dst port 80
抓取源地址为192.168.1.1,目的为80端口的流量
host 192.168.1.1 || host 192.168.1.2
抓取192.168.1.1和192.168.1.2 的流量
! broadcast
不要抓取广播包
udp dst port 4569
显示目的的UDP端口为4569的封包
not icmp
显示除icmp以外的封包
实验演示
- 过滤MAC地址案例
ether host 00:88:ca:86:f8:0f:
ether src host 00:88:ca:86:f8:0f:
ether dst host 00:88:ca:86:f8:0f:
- 过滤IP地址案例
host 192.168.1.1
src host 192.168.1.1
dst host 192.168.1.1
- 过滤端口案例
port 80
! port 80
dst port 80
src port 80
- 过滤协议案例
arp
icmp
- 综合过滤案例
host 192.168.1.100 && port 8080