从标准输入读取时,如何通过端口进行Wireshark过滤?

时间:2014-11-25 13:56:03

标签: tcp wireshark packet-sniffers

我从RawCap生成的转储文件到Wireshark进行管道传输以监控本地流量,如何指示wireshark仅显示到某个目标端口的流量?

我在一个Cygwin shell中运行RawCap,在另一个中运行Wireshark来监控RawCap的输出:

外壳1:

RawCap.exe -f 127.0.0.1 dumpfile.pcap

外壳2:

# How do I tell Wireshark to show only traffic to port 10000?
tail -c +0 -f dumpfile.pcap | Wireshark.exe -k -i -

1 个答案:

答案 0 :(得分:3)

指示wireshark过滤显示的数据包的相应标志是-Y,其手册页报告:

  

-Y <display filter>从给定的显示过滤器开始

要过滤TCP的目标端口,请使用tcp.dstport==X X指定端口。

因此,完整命令是:

tail -c +0 -f dumpfile.pcap | wireshark -k -i - -Y "tcp.dstport==10000"

This是显示过滤器信息的良好起点。有关该主题的完整参考资料here,可提供其语法的详细说明here。但是,值得注意的是,大多数基本过滤器都可以通过简单的在线搜索找到。