você deseja capturar apenas o tráfego destinado ao IP do seu host:
dst host <your Ip>
Desculpe, leia isso como filtro de exibição. o acima foi corrigido para a sintaxe do filtro CAPTURE.
Estou tentando configurar um filtro (para que meus arquivos de log não sejam volumosos) que capturem apenas o tráfego de entrada. Procurei no link , mas até agora não consegui encontrar uma maneira de fazer isso. Alguém sabe como?
Assim como uma pergunta secundária, ao registrar em vários arquivos no Wireshark, você pode visualizar informações completas sobre pacotes posteriormente?
Sua solicitação para capturar only incoming traffic leva a alguma ambiguidade. A palavra incoming pode ter pelo menos dois significados diferentes na rede.
Os primeiros pacotes de significado recebidos por uma interface / dispositivo particular são relativamente simples. A resposta Jeff fornece é o que você deseja. Você basicamente só precisa filtrar os pacotes que têm um endereço IP ou MAC que corresponda à sua interface de rede.
Há outro uso comum de entrada na rede, no que se refere a firewalls com estado. Geralmente, todo o tráfego de atividades é iniciado por um sistema remoto. Se é isso que você realmente quer. Todas as conexões iniciadas por um sistema remoto e todos os pacotes relacionados a essas conexões, então acredito que você esteja sem sorte. A última vez que eu olhei PCAP não tinha nenhuma habilidade de correspondência com estado. Então, se é isso que você está procurando, então eu acredito que você está sem sorte.
Como os filtros tcpdump são os filtros de captura, e podem ser passados através de tshark ou tcpdump, bem como para evitar a execução de uma GUI apenas para captura, se você estiver revendo mais tarde
[tcpdump] ether dst $YOUR_MAC_ADDRESS deve cobrir a maior parte do que você deseja.
[tcpdump] ether src not $YOUR_MAC_ADDRESS seria mais amplo. Você também pode ter algumas coisas do DHCP da sua máquina, mas isso não deve ser muito importante.
Sim, você pode salvar pacotes e inspecioná-los no futuro, assim como no modo ao vivo.
Você pode usar um filtro de captura com um endereço de rede em vez do IP único da sua máquina, como "dst net 10.0.0.0/21". Isso capturaria todos os pacotes enviados para 10.0.0.1 até 10.0.7.254.
Como alternativa, você pode usar tshark para pós-filtrar um arquivo de captura usando -r ORIGINAL_FILE -w NEW_FILE -Y "filtros de exibição". Nos filtros de exibição, você usaria "ip.dst == 10.0.0.0 / 21" para obter o mesmo conjunto de dados que o filtro de captura acima.
Por favor, pare com essa loucura. É muito impraticável listar o endereço mac / IP do host local toda vez que você precisar desse recurso (sem mencionar os casos em que esses detalhes podem mudar durante a execução do dump), e a biblioteca pcap já possui esse recurso. Você só precisa usar 'entrada' no filtro, e você só verá os pacotes recebidos na interface, simples assim.