第一层过滤:
1. type(类型)限定词
host 、 net、port、portange
2. dir(方向)限定词
src、dst
3. proto(协议)限定词
ether、arp、icmp、ip、tcp、udp、http、ftp
例:
Protocol Direction Host(s) Value Logical operation Other expression
tcp dst 10.1.1.1 80 and tcp dst 10.2.2.2.3128
第二层过滤:(Ethernet过滤器)
1. ether host<> : 抓取指定的以太网流量(源或目的MAC地址)
如:ether host 1C-6F-65-5D-EB-94
2. ether dst<> : 抓取去往指定目的MAC的以太网流量
如:ether dst host 1C-6F-65-5D-EB-94
或:ether dst 1C-6F-65-5D-EB-94
3. ether src<> : 抓取来源指定源MAC的以太网流量
如:ether src1C-6F-65-5D-EB-94
4. ether broadcast : 抓取以太网广播流量 (只抓取目标地址为FFF的,相当于 ether host ff:ff:ff:ff:ff:ff)
5. ether multicast : 抓取以太网多播流量
Ipv4 组播(Ipv4mcast)是由01:00:5e 开头
Ipv6组播(Ipv6mcast)是由33:33:开头
例:ether multicast 01:00:5e
6. ether proto<> : 所抓指定的以太网协议类型的流量
如: ether proto 0x0806 (ARP 的数据包)
ether proto 0x0800 (Ipv4的数据包)
ether proto 0x86dd (Ipv6的数据包)
如果没有ARP的包可以ping一个找不到的地址就可以了。
例:ping 192.168.1.188
7. vlan<> : 只抓取指定vlan 的流量
如: vlan2 !vlan2 vlan2 && vlan3 vlan2 || vlan3
295
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
