一.捕获单个IP地址数据
#捕获到达/来自192.168.1.110主机的数据
host 192.168.1.110
host fe80::d5aa:d0e6:db5b:7ed5
not host 192.168.1.110
src host 192.168.1.110
dst host 192.168.1.110
host 192.168.1.110 or host 192.168.1.111
host www.baidu.com
二.捕获IP地址范围
#捕获到达/来自192.168.0.0网络中任何主机的数据
net 192.168.0.0/24
net 192.168.0.0 mask 255.255.255.0
not dst net 192.168.0.0/24
dst net 192.168.0.0/24
src net 192.168.0.0/24
三.捕获广播或多播地址数据
#捕获到255.255.255.255的数据
ip broadcast
#捕获通过239.255.255.255---224.0.0.0的数据
ip multicast
#捕获所有主机到IPv6多播地址的数据
dst host ff02::1
#捕获所有路由到IPv6多播地址的数
dst host ff02::2
四.捕获mac地址数据
ether host 00:01:02:03:04:05
ether src 00:01:02:03:04:05
ether dst 00:01:02:03:04:05
not ether host 00:01:02:03:04:05
五.捕获端口应用程序数据
port 53
not port 53
tcp port 67
udp port 67
portrange 1-80
tcp portrange 1-80
六.捕获特定ICMP数据
用户必须使用一个偏移量来表示在一个ICMP中字段的位置。
偏移量为0表示是ICMP字段类型;偏移量为1表示ICMP的位置代码字段。
#捕获所有icmp数据包
icmp
#捕获所有icmp字段类型为8(Echo Request)的数据包
icmp[0]=8
#捕获所有icmp字段类型为17(Address Mask Request)的数据包
icmp[0]=17
#捕获所有ICMP字段类型为8(Echo Request)或ICMP字段类型为0(Echo Reply)的数据包
icmp[0]=8 or icmp[0]=0
#捕获所有ICMP字段类型为3(Destination Unreachable)的包,除了ICMP字段类型为3代码为4(
#Fragmentation Needed and Don't Fragment was Set)的数据包
icmp[0]=3 and not icmp[1]=4
扫一扫
4939
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
