在Debian下,dumpcap支持的过滤器主要包括以下几类:
ether:以太网帧。ip:IP数据包。tcp:TCP段。udp:UDP数据包。icmp:ICMP消息。src 和 dst:源地址和目的地址。port:端口号。proto:协议类型(如TCP、UDP等)。length:数据包长度。frame.time:帧的时间戳。tcp.stream.time:TCP流的时间戳。and、or、not:用于组合多个条件。==、!=、<、>、<=、>=:用于数值比较。range:指定一个值的范围。regexp:使用正则表达式匹配字符串。http:HTTP请求和响应。dns:DNS查询和响应。ssl:SSL/TLS握手和数据传输。contains:检查数据包内容是否包含特定字符串。matches:使用正则表达式匹配数据包内容。count:计算满足条件的数据包数量。avg、min、max:计算平均值、最小值和最大值。rate:限制数据包捕获速率。burst:设置突发流量阈值。tcptcp.port == 80 and httpframe.time >= 1633024800 and frame.time <= 1633028400data contains "error"dumpcap -G命令查看帮助信息。总之,dumpcap提供了丰富的过滤器选项,可以根据实际需求灵活组合使用,以实现精确的数据包捕获和分析。
