我可以做类似的事情吗?
tshark -r filename.pcap -R -i wan0吗?
filename.pcap是要分析的数据包捕获文件,wan0是我需要对其应用过滤器的接口?
答案 0 :(得分:2)
tcpdump使用的普通pcap格式不包含有关捕获数据包的接口名称的信息。默认情况下,tshark或wirehark使用的pcapng格式确实具有此信息。使用pcapng可以应用这样的显示过滤器:
tshark -r file.pcapng -Y 'frame.interface_name == "wan0"'
当然,这仅在pcapng文件包含在多个接口上捕获的数据包时才有意义。否则,此过滤器将仅导致没有数据包或所有数据包。特别是,它不会帮助在any伪接口上捕获,因为pcapng将不包含系统上各种接口的名称,而仅显示在单个any伪接口上捕获的所有数据包。