0

平台:Fedora 13,32 位机器我在客户端运行 tshark,在远程机器上运行 rpcapd。这是一个例子:-

远程机器:- IP 地址 192.168.100.100(比如)和接口名称 - eth1(比如)bash$:- sudo ./rpcapd -n

客户端:- IP 地址 192.168.100.200 bash$:- sudo tshark -w output.pcap -i rpcap://192.168.100.100/eth6 -f "ip proto 132"

数据包捕获正在成功运行,并且数据包也正在被捕获。但它也捕获进出自己机器接口的数据包,这些数据包与远程机器的接口无关。

请帮助我理解这一点..

4

2 回答 2

0

您可以通过添加过滤器来排除到您的捕获主机的流量:

 tshark -f '(host not 192.168.100.200) and (ip proto 132)'
于 2013-11-07T20:40:21.013 回答
0

问题是由于混杂模式而发生的。

我试过这个:

$sudo tshark -p -w output.pcap -i rpcap://192.168.100.100/eth6 -f "ip proto 132"

它奏效了!选项 -p 表示接口不会进入混杂模式。

以下是详细信息:- https://www.wireshark.org/docs/man-pages/tshark.html

于 2014-09-22T20:11:39.300 回答