捕获过滤器 PCAP - 过滤 IP 地址以减小文件大小
Capture filter PCAP - Filter IP address to reduce file size
目前我有一些流量被转发到数据中心的一台机器,这台机器有一个 PCAP 脚本 运行 获取所有这些流量。 X 时间后,文件将使用 7 zip 压缩,以使文件尽可能小。
目前的工作流程涉及直接从数据中心收集文件并上传到工作机器进行分析。我们可以访问网络上不在数据中心的另一台机器,并希望通过网络收集文件。唯一的问题是 PCAP 然后将此传输包含在文件中,并且由于它们已经被压缩,导致文件大小膨胀,从不到 10 MB 到 80 MB+。
收集所有网络流量很重要,因此我希望只过滤掉这两台机器之间的传输,而不是指定我需要捕获的所有连接。
我尝试添加:
"-f 不是 src net 10.213.121.13"
“-f 不是主机 10.213.121.13”
到脚本,但在这两种情况下它都抱怨语法问题。任何有关如何实现此目的的想法都将不胜感激。
脚本:
dumpcap -i1 -b filesize:100000 files:200 -f not src net 10.213.121.13 -w C:\WIRESHARK_LOGS\log_dumpcap
问题是 dumpcap 需要引用 过滤器表达式,不像 TCPDump,它可能被引用(或者如果它包含 BPF 则需要引用)过滤器或其他 shell 消化字符)。因此,以下应该可以解决您提出的问题:
dumpcap -i1 -b filesize:100000 files:200 -f 'not src host 10.213.121.13' -w C:\WIRESHARK_LOGS\log_dumpcap
但是,我假设您将使用 TCP 来传输文件。如果是这样的话,你也真的不想要 ACK 数据包,所以:
dumpcap -i1 -b filesize:100000 files:200 -f 'not host 10.213.121.13' -w C:\WIRESHARK_LOGS\log_dumpcap
不过,我建议您可以进一步完善它。我建议指定用于传输的端口,这样您就不会对进出 10.213.121.13 框的所有其他流量视而不见。
目前我有一些流量被转发到数据中心的一台机器,这台机器有一个 PCAP 脚本 运行 获取所有这些流量。 X 时间后,文件将使用 7 zip 压缩,以使文件尽可能小。
目前的工作流程涉及直接从数据中心收集文件并上传到工作机器进行分析。我们可以访问网络上不在数据中心的另一台机器,并希望通过网络收集文件。唯一的问题是 PCAP 然后将此传输包含在文件中,并且由于它们已经被压缩,导致文件大小膨胀,从不到 10 MB 到 80 MB+。
收集所有网络流量很重要,因此我希望只过滤掉这两台机器之间的传输,而不是指定我需要捕获的所有连接。
我尝试添加:
"-f 不是 src net 10.213.121.13" “-f 不是主机 10.213.121.13” 到脚本,但在这两种情况下它都抱怨语法问题。任何有关如何实现此目的的想法都将不胜感激。
脚本:
dumpcap -i1 -b filesize:100000 files:200 -f not src net 10.213.121.13 -w C:\WIRESHARK_LOGS\log_dumpcap
问题是 dumpcap 需要引用 过滤器表达式,不像 TCPDump,它可能被引用(或者如果它包含 BPF 则需要引用)过滤器或其他 shell 消化字符)。因此,以下应该可以解决您提出的问题:
dumpcap -i1 -b filesize:100000 files:200 -f 'not src host 10.213.121.13' -w C:\WIRESHARK_LOGS\log_dumpcap
但是,我假设您将使用 TCP 来传输文件。如果是这样的话,你也真的不想要 ACK 数据包,所以:
dumpcap -i1 -b filesize:100000 files:200 -f 'not host 10.213.121.13' -w C:\WIRESHARK_LOGS\log_dumpcap
不过,我建议您可以进一步完善它。我建议指定用于传输的端口,这样您就不会对进出 10.213.121.13 框的所有其他流量视而不见。