dumpcap支持哪些过滤规则
导读:dumpcap 过滤规则概览 dumpcap 使用 BPF(Berkeley Packet Filter) 语法进行捕获过滤,通过 -f 指定表达式,仅抓取匹配的数据包,减少磁盘占用与内核/用户态开销。该语法与 tcpdump/Wires...
dumpcap 过滤规则概览
- dumpcap 使用 BPF(Berkeley Packet Filter) 语法进行捕获过滤,通过 -f 指定表达式,仅抓取匹配的数据包,减少磁盘占用与内核/用户态开销。该语法与 tcpdump/Wireshark 捕获过滤器一致。常用关键词包括:host、src、dst、port、tcp、udp、icmp、ip、ip6、ether;逻辑操作符支持 and、or、not(也可用符号 &
&
、||、!);可用括号控制优先级。示例:
tcp and host 192.168.1.100 and port 80。在 Linux 上通常需要 root/管理员权限 才能捕获。
常用过滤规则与示例
| 目的 | 过滤表达式(BPF) | 说明 |
|---|---|---|
| 捕获某主机流量 | host 192.168.1.100 |
源或目的为该 IP 的包 |
| 仅源/仅目的 | src host 192.168.1.100、dst host 192.168.1.100 |
分别限定源或目的 |
| 按端口 | port 80、tcp port 80、udp port 53 |
可限定协议与端口 |
| 端口范围 | tcp portrange 1-1024 |
捕获指定端口区间 |
| 协议过滤 | tcp、udp、icmp、ip、ip6 |
按 L3/L4 协议筛选 |
| 子网过滤 | ip net 192.168.0.0/24 |
匹配整个网段 |
| MAC 地址 | ether host 00:1a:2b:3c:4d:5e |
二层地址过滤 |
| 组合条件 | (src host 1.1.1.1 or src host 2.2.2.2) and port 443 |
括号与逻辑组合 |
| 显示/捕获语法差异 | 捕获:-f "tcp port 80";显示:ip.addr == 1.1.1.1 |
两者语法不同,勿混用 |
| 以上表达式均为 BPF 捕获过滤 语法,适用于 dumpcap 的 -f 参数。 |
进阶用法与性能建议
- 查看接口与快速验证:用 dumpcap -D 列出接口;如需验证过滤器语法,可用 dumpcap -i -f “” -d 查看 BPF 汇编,便于排查语法/性能问题。
- 长时抓包与文件控制:结合 -c < 包数> 、-b filesize: 等选项做滚动/定量抓取,降低单文件过大与丢包风险。
- 过滤器文件:将表达式写入文件(如 myfilters),通过 -F myfilters 加载,便于复用与版本管理。
- 性能优化:尽量把高选择性条件放前(如先限定 host 再限定 port);在 Linux 上可启用 BPF JIT 提升过滤速度(写入 /proc/sys/net/core/bpf_jit_enable)。
- 权限与接口:抓包通常需要 sudo/管理员;不确定接口名时先执行 dumpcap -D。
常见误区
- 将 显示过滤器 语法(如
ip.addr == 1.1.1.1、tcp.port == 80)用于 -f;应使用 BPF 语法(如host 1.1.1.1、tcp port 80)。 - 混淆 -f(捕获过滤) 与 -Y(显示过滤):前者在抓包阶段生效、更高效;后者在显示阶段生效、便于交互分析。
- 过滤器过于复杂导致丢包:可拆分为多个更精确的过滤任务,或增大内核缓冲(如 -B 选项)。
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: dumpcap支持哪些过滤规则
本文地址: https://pptw.com/jishu/787432.html