温馨提示×

dumpcap支持哪些过滤规则

linux

小樊

47

2026-01-05 13:03:04

栏目: 编程语言

dumpcap 过滤规则概览

dumpcap 使用 BPF（Berkeley Packet Filter） 语法进行捕获过滤，通过 -f 指定表达式，仅抓取匹配的数据包，减少磁盘占用与内核/用户态开销。该语法与 tcpdump/Wireshark 捕获过滤器一致。常用关键词包括：host、src、dst、port、tcp、udp、icmp、ip、ip6、ether；逻辑操作符支持 and、or、not（也可用符号 &&、||、!）；可用括号控制优先级。示例：tcp and host 192.168.1.100 and port 80。在 Linux 上通常需要 root/管理员权限 才能捕获。

常用过滤规则与示例

目的	过滤表达式（BPF）	说明
捕获某主机流量	`host 192.168.1.100`	源或目的为该 IP 的包
仅源/仅目的	`src host 192.168.1.100`、`dst host 192.168.1.100`	分别限定源或目的
按端口	`port 80`、`tcp port 80`、`udp port 53`	可限定协议与端口
端口范围	`tcp portrange 1-1024`	捕获指定端口区间
协议过滤	`tcp`、`udp`、`icmp`、`ip`、`ip6`	按 L3/L4 协议筛选
子网过滤	`ip net 192.168.0.0/24`	匹配整个网段
MAC 地址	`ether host 00:1a:2b:3c:4d:5e`	二层地址过滤
组合条件	`(src host 1.1.1.1 or src host 2.2.2.2) and port 443`	括号与逻辑组合
显示/捕获语法差异	捕获：`-f "tcp port 80"`；显示：`ip.addr == 1.1.1.1`	两者语法不同，勿混用
以上表达式均为 BPF 捕获过滤语法，适用于 dumpcap 的 -f 参数。

进阶用法与性能建议

查看接口与快速验证：用 dumpcap -D 列出接口；如需验证过滤器语法，可用 dumpcap -i -f “” -d 查看 BPF 汇编，便于排查语法/性能问题。
长时抓包与文件控制：结合 -c <包数>、-b filesize: 等选项做滚动/定量抓取，降低单文件过大与丢包风险。
过滤器文件：将表达式写入文件（如 myfilters），通过 -F myfilters 加载，便于复用与版本管理。
性能优化：尽量把高选择性条件放前（如先限定 host 再限定 port）；在 Linux 上可启用 BPF JIT 提升过滤速度（写入 /proc/sys/net/core/bpf_jit_enable）。
权限与接口：抓包通常需要 sudo/管理员；不确定接口名时先执行 dumpcap -D。

常见误区

将 显示过滤器 语法（如 ip.addr == 1.1.1.1、tcp.port == 80）用于 -f；应使用 BPF 语法（如 host 1.1.1.1、tcp port 80）。
混淆 -f（捕获过滤） 与 -Y（显示过滤）：前者在抓包阶段生效、更高效；后者在显示阶段生效、便于交互分析。
过滤器过于复杂导致丢包：可拆分为多个更精确的过滤任务，或增大内核缓冲（如 -B 选项）。

0 赞

0 踩

最新问答

相关问答

相关标签

产品服务

地区划分

专题活动

帮助支持

关于我们

售后咨询

7*24小时在线电话：400-100-2938

7*24小时在线 QQ：800811969

关注亿速云

亿速云公众号

手机网站二维码