pcap filter

今天用tshark抓包,本以为wireshark能用的filter,如“mysql”它也应该能用,其实不然;
tshark -f只认识pcap filter,用-R的话,说要用-2,加上-2的话又说什么我忘了,直接用pcap filter吧。

http://yuba.stanford.edu/~casado/pcap/section3.html

http://blog.sina.com.cn/s/blog_6cb117430100lz7q.html

Both tshark and tcpdump use the pcap library, so the capture filters use pcap-filter syntax. The filter you want is, as @tristan says, "not port 22". You can enter this as a quoted string argument to the -f option, or as an unquoted argument to the command. The following commands are equivalent:

# tshark -f "not port 22"
# tshark -- not port 22

The reason tshark complained about your command above is that your shell (probably Bash) expanded "!22" to command number 22 in your command history, which in this case was "ls". The Bash documentation has more information on history expansion.

时间: 2024-12-13 09:41:08

pcap filter的相关文章

Kail Linux渗透测试教程之ARP侦查Netdiscover端口扫描Zenmap与黑暗搜索引擎Shodan

Kail Linux渗透测试教程之ARP侦查Netdiscover端口扫描Zenmap与黑暗搜索引擎Shodan ARP侦查工具——Netdiscover Netdiscover是一个主动/被动的ARP侦查工具.该工具在不使用DHCP的无线网络上非常有用.使用Netdiscover工具可以在网络上扫描IP地址,检查在线主机或搜索为它们发送的ARP请求.下面将介绍Netdiscover工具的使用方法. 首先查看下Netdiscover工具的帮助信息,执行命令如下所示: [email protect

centos利用cloudflare的bpf-tools实现ddos防护

概念 利用BPF( Berkeley Packet Filter)工具集结合iptables的xt_bpf模块可以实现高性能包过滤,从而应对大规模的ddos攻击.BPF Tools包含一组简单的python脚本,一部分用于分析pcap文件,其它主要用于生成bpf字节码. 一.下载并安装bpftools 在https://github.com/cloudflare/bpftools下载zip文件解压,也可以通过git下载,然后编译,安装脚本如下: #!/bin/bash #yum -y kerne

ARP侦查工具Netdiscover

ARP侦查工具Netdiscover Netdiscover是一个主动/被动的ARP侦查工具.该工具在不使用DHCP的无线网络上非常有用.使用Netdiscover工具可以在网络上扫描IP地址,ARP侦查工具Netdiscover检查在线主机或搜索为它们发送的ARP请求.下面将介绍Netdiscover工具的使用方法.本文选自Kail Linux渗透测试实训手册大学霸 首先查看下Netdiscover工具的帮助信息,执行命令如下所示: [email protected]:~# netdiscov

使用scapy分析pcap报文

需求: 1.读取wireshark捕获的pcap报文 2.过滤出特定报文 3.分析特定报文的间隔时间是否符合规律 关键函数或变量: rdpcap() filter():使用lambda函数 p.time 可用ls()查看报文支持的字段,由于链路层和IP层用的字段重复,可以用p[IP].src代表IP源地址,类型为字符串. p.load表示原始数据区,类型为字符串.

从网上搜索到的一些关于pcap源代码,入门级的

/*pcap_1.c*/ #include <stdio.h>#include <stdlib.h>#include <pcap.h>  /* 如果没有pcap的系统,要自己下载一个 */#include <errno.h>#include <sys/socket.h>#include <netinet/in.h>#include <arpa/inet.h> int main(int argc, char **argv){

IP流量重放与pcap文件格式解析

(作者:燕云   出处:http://www.cnblogs.com/SwordTao/ 欢迎转载,但也请保留这段声明,谢谢!)   君不见 黄河之水 天上来 奔流到海不复回   君不见 高堂明镜 悲白发 朝如青丝暮成雪   人生得意须尽欢 莫使金樽空对月 --将进酒 pcap文件格式,为多数的tcpdump.wireshark等重量级的数据包抓取.分析应用程序所直接支持,所以,为我们的程序中嵌入此类文件的解析与生成功能,很是值得. 具体信息请看wireshark wiki:http://wik

pcap学习

[cpp] view plaincopyprint? #include <pcap.h> char errbuf[PCAP_ERRBUF_SIZE]; pcap_t *pcap_open_live(const char *device, int snaplen,int promisc, int to_ms, char *errbuf) pcap_t *pcap_open_dead(int linktype, int snaplen) pcap_t *pcap_open_offline(cons

基于Lua插件化的Pcap流量监听代理

1.前言 我们在实际工作中,遇到了一个这样的用例,在每天例行扫描活动中,发现有些应用系统不定期的被扫挂,因为我们不是服务的制造者,没有办法在不同的系统里打印日志,所以我们就想用一个工具来获取特定服务的输入数据流.我们如果不在IDS上看应用的服务,可以直接针对服务所在服务位置,针对应用端口进行,有针对性的监听分析. Tshark和tcpdump.windump这些监听工具提供了比较丰富的命令行参数来监听流量数据.wireshark.burpsuite这些工具也提供相应的lua.python脚本的机

PCAP研究

一.  pcap简介 封装了OS提供的底层抓包技术,对外提供一些统一的抓包(及发送)接口.实现这些功能的其他技术包括:BPF(Berkeley Packet Filter),DLPI(Data Link Provider Interface),NIT ,Linux专用的SOCKET_PACKET或PF_PACKET等. 二.  pcap Linux安装 参考<INSTALL.txt>. 进入pcap源码目录,执行./configure,这将检测系统环境,并生成Makefile文件:执行make