dumpcap支持哪些过滤表达式

linux

小樊

2025-07-28 07:15:55

栏目: 编程语言

dumpcap 支持使用 BPF (Berkeley Packet Filter) 语法进行数据过滤，以下是一些常见的过滤表达式示例：

捕获所有数据包：any
捕获特定 IP 地址的数据包：ip.addr == 192.168.1.1
捕获特定端口的数据包：tcp.port == 80
捕获特定协议的数据包（例如 TCP）：tcp
捕获特定 MAC 地址的数据包：ether host 00:11:22:33:44:55
捕获源 IP 为 192.168.1.1 的流量：src host 192.168.1.1
捕获目标 IP 为 192.168.1.1 的流量：dst host 192.168.1.1
捕获源端口为 80 的 TCP 流量：tcp src port 80
捕获目标端口为 443 的 TCP 流量：tcp dst port 443
捕获所有发往或来自 IP 地址 192.168.1.5 的 TCP 数据包：ip.addr == 192.168.1.5 and tcp
捕获所有发往或来自 192.168.1.5 且目标端口为 80 的 HTTP 请求：ip.addr == 192.168.1.5 and tcp.port == 80 and tcp.flags.syn == 1。

请注意，过滤器表达式区分大小写，并且在使用时需要根据具体需求进行调整，以匹配你想要捕获的流量类型。

最新问答