Question

我从RawCap生成的转储文件到Wireshark进行管道传输以监控本地流量，如何指示wireshark仅显示到某个目标端口的流量？

我在一个Cygwin shell中运行RawCap，在另一个中运行Wireshark来监控RawCap的输出：

外壳1：

RawCap.exe -f 127.0.0.1 dumpfile.pcap

外壳2：

# How do I tell Wireshark to show only traffic to port 10000?
tail -c +0 -f dumpfile.pcap | Wireshark.exe -k -i -

Answer 1

指示wireshark过滤显示的数据包的相应标志是-Y，其手册页报告：

-Y <display filter>从给定的显示过滤器开始

要过滤TCP的目标端口，请使用tcp.dstport==X X指定端口。

因此，完整命令是：

tail -c +0 -f dumpfile.pcap | wireshark -k -i - -Y "tcp.dstport==10000"

This是显示过滤器信息的良好起点。有关该主题的完整参考资料here，可提供其语法的详细说明here。但是，值得注意的是，大多数基本过滤器都可以通过简单的在线搜索找到。