O modo de captura "Linux cozido" não distingue de forma alguma os pacotes de diferentes interfaces. Você só pode filtrar os resultados por endereço IP.
Eu sei que antes de capturar pacotes, eu posso selecionar uma interface específica.
Gostaria de saber se existe algum filtro para distinguir diferentes interfaces depois de capturar pacotes?
Isto é, no começo, eu capture pacotes de todas as interfaces.
Depois disso, posso usar "algum filtro" para diferentes interfaces.
Alguém sabe sobre isso?
Desde o Wireshark 1.8 e ao usar o formato de captura pcap-ng, você pode usar frame.interface_id . É um número da interface da qual o quadro foi capturado. Para mapear o número para a interface real, consulte as estatísticas > Janela de resumo. A primeira interface na tabela tem o número 0 e a outra segue.
Eu testei isso no Ubuntu 12.04.3 (kernel 3.2.0-57), Wireshark 1.10.3.
Para detalhes adicionais, consulte:
Você pode filtrar um pouco quando estiver usando captura Linux, usando o filtro SLL. Dê uma olhada no link e procure por opções na janela Expressão de filtro.
Embora você não possa filtrar exatamente cada interface, você pode, por exemplo, selecionar o tipo de interface com 'sll.hatype == 1' para ethernet ou 'sll.hatype == 512' para interfaces ppp (veja valores em if_arp .h arquivo de cabeçalho).
Tags wireshark