ตัวกรอง http.host สำหรับการจับ tshark

0

ฉันต้องการรวบรวมทราฟฟิกไปยังชื่อโดเมนเฉพาะ ฉันลองใช้ตัวกรอง wireshark ต่อไปนี้

http.host == 'example.com'

ใช้งานได้ แต่หลังจากไม่กี่ชั่วโมงข้อมูล temp จะใหญ่มากดังนั้นฉันจึงพยายามใช้ตัวกรอง tshark และการจับภาพเพื่อจับภาพและบันทึกปริมาณการใช้งานที่เป็น example.com เท่านั้น

tshark -i eth0 -f "Host example.com" -w "/tmp/d.pcap"

อย่างไรก็ตามนี่เป็นการจับทุกอย่าง

มีอยู่แล้วฉันสามารถจับภาพเฉพาะการรับส่งข้อมูลไปยังชื่อโดเมนเฉพาะได้หรือไม่

wireshark 
k961
แหล่งที่มา

คำตอบ:

0

ตัวกรองการจับภาพเป็นตัวพิมพ์เล็กและตัวพิมพ์ใหญ่:

tshark -i eth0 -f "host example.com" -w "/tmp/d.pcap"
heavyd
แหล่งที่มา
ไม่ได้ทำการกระจายใด ๆ ... ยังคงมีการจับแพ็คเก็ตและบันทึกลงดิสก์
k961
โปรดจำไว้ว่าตัวกรองแพ็คเก็ตจะไม่เหมือนกันเป็นตัวกรองการจับภาพhttp.host hostตัวกรองการจับภาพจะแก้ไขชื่อ DNS เป็น IP และจับการรับส่งข้อมูลใด ๆ ไปยัง / จาก IP นั้น
หนัก
ฉันต้องการบันทึกเฉพาะแพ็กเก็ตที่มีส่วนหัว http (โฮสต์: example.com) มีตัวกรองสำหรับสิ่งนี้หรือไม่
k961
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.