ubuntu下dumpcap捕获过滤条件

在Ubuntu下使用dumpcap进行数据包捕获时，可以使用各种过滤条件来指定要捕获的数据包。这些过滤条件基于BPF（Berkeley Packet Filter）语法，允许你精确地控制捕获的数据包类型。

以下是一些常用的dumpcap捕获过滤条件示例：

基本过滤条件

1. 捕获所有数据包

   dumpcap -i any
   

2. 捕获特定接口的数据包

   dumpcap -i eth0
   

3. 捕获指定IP地址的数据包

   dumpcap -i any host 192.168.1.1
   

4. 捕获指定端口的数据包

   dumpcap -i any port 80
   

5. 捕获指定协议的数据包

   dumpcap -i any tcp
   

组合过滤条件

1. 捕获特定IP地址和端口的数据包

   dumpcap -i any host 192.168.1.1 and port 80
   

2. 捕获特定IP地址或端口的数据包

   dumpcap -i any host 192.168.1.1 or port 80
   

3. 捕获特定协议和端口的数据包

   dumpcap -i any tcp and port 80
   

4. 捕获特定协议、IP地址和端口的数据包

   dumpcap -i any tcp and host 192.168.1.1 and port 80
   

高级过滤条件

1. 捕获特定MAC地址的数据包

   dumpcap -i any ether host 00:11:22:33:44:55
   

2. 捕获特定ICMP类型的数据包

   dumpcap -i any icmp
   

3. 捕获特定TCP标志位的数据包

   dumpcap -i any tcp flags syn
   

4. 捕获特定UDP长度的数据包

   dumpcap -i any udp length 100
   

保存捕获的数据包

你可以将捕获的数据包保存到文件中，以便后续分析：

dumpcap -i any -w capture.pcap

使用过滤器表达式

dumpcap支持复杂的过滤器表达式，例如：

• 捕获源IP地址为192.168.1.1且目标IP地址为192.168.1.2的数据包

  dumpcap -i any host 192.168.1.1 and host 192.168.1.2
  

• 捕获源端口为80且目标端口为443的数据包

  dumpcap -i any src port 80 and dst port 443
  

• 捕获ICMP请求数据包

  dumpcap -i any icmp
  

通过这些过滤条件，你可以灵活地控制dumpcap捕获的数据包，从而更有效地进行网络分析和故障排除。