我从vlan获取了一个pcap文件。 我想用Tcpdump从该文件中过滤掉一些数据包,但它不起作用。
是因为Tcpdump不支持vlan吗? 因为它适用于正常以太网中捕获的pcap文件。
答案 0 :(得分:5)
如果数据包包含802.1q vlan标记,则可以执行以下操作 -
tcpdump -s0 -nnpi eth0 vlan 100
其中100是vlan id。
你要小心使用vlan关键字作为BPF过滤器(当它与其他过滤器组合时),因为它将过滤器向右移动4个字节,请参阅此处 - http://www.christian-rossow.de/articles/tcpdump_filter_mixed_tagged_and_untagged_VLAN_traffic.php。
您还可以使用以太网标头的过滤器 - 此链接完美地描述了解决方案和潜在问题 -
https://serverfault.com/questions/196250/tcpdump-capture-one-of-several-vlans