Pregunta ¿Filtro Wireshark para capturar solo paquetes entrantes?


Estoy intentando configurar un filtro (por lo que mis archivos de registro no son masivos) que capturarán solo el tráfico entrante. He mirado http://wiki.wireshark.org/CaptureFilters pero hasta ahora no han podido encontrar una manera de hacer esto. ¿Alguien sabe cómo?

Al igual que una pregunta complementaria, al iniciar sesión en varios archivos en Wireshark, ¿puede ver la información completa del paquete más adelante?


5
2018-01-09 16:16


origen


Respuesta paralela: siempre que descargue los fotogramas completos (que es el valor predeterminado) puede ver los paquetes completos más adelante. - Gerald Combs


Respuestas:


desearía capturar únicamente el tráfico destinado a la IP de su host:

dst host <your Ip>

Lo siento, lea eso como filtro de visualización. Lo anterior se ha corregido para la sintaxis del filtro CAPTURE.


7
2018-01-09 16:32



Esto sería perfecto, excepto que nuestras máquinas tienen grandes bloques de IP asignados a ellos, y el tráfico podría dirigirse a cualquiera de estos. - Aidan Knight


Tu solicitud de captura only incoming traffic lleva a alguna ambigüedad. La palabra entrante puede tener al menos dos significados diferentes en redes.

Los primeros paquetes de significado recibidos por una interfaz / dispositivo particular son relativamente simples. La respuesta Jeff proporciona es lo que quieres Básicamente, solo necesita filtrar por paquetes que tengan una dirección IP o MAC que coincida con su interfaz de red.

Existe otro uso común de las entradas entrantes en la red, ya que se relaciona con los cortafuegos de estado. Esto suele ser todo el tráfico de actividad iniciado por un sistema remoto. Si esto es lo que realmente quieres. Todas las conexiones iniciadas por un sistema remoto y todos los paquetes relacionados con esas conexiones, entonces creo que está fuera de suerte. La última vez que miré PCAP no tenía ninguna habilidad de emparejamiento con estado en absoluto. Entonces, si eso es lo que estás buscando, entonces creo que estás bastante sin suerte.


5
2018-01-09 17:46



Puede haber una forma, al menos para las conexiones TCP: encontrar paquetes con el indicador SYN, sin el indicador ACK, con la dirección IP de la máquina local como destino. Guarde esos y luego siga la secuencia de TCP para cada uno de ellos. - Pedro Perez


Debido a que los filtros tcpdump son los filtros de captura, y también se pueden pasar a través de tshark o tcpdump para evitar la ejecución de una GUI solo para la captura si está revisando más adelante

[tcpdump] ether dst $YOUR_MAC_ADDRESS Debes cubrir la mayor parte de lo que quieras.

[tcpdump] ether src not $YOUR_MAC_ADDRESS sería más amplio También puede que haya algo de DHCP de su máquina, pero no debería ser muy importante.

Sí, puede guardar paquetes e inspeccionarlos en el futuro al igual que en el modo en vivo.


4
2018-01-09 17:10



Esta puede ser la respuesta correcta si él define el entrante como 'recibido', y no le gusta cómo lo definiría en un firewall con estado. - Zoredache
Esto suena como si fuera perfecto. Muchas de nuestras máquinas están siendo golpeadas con un DDoS gracias a un programa lanzado que aprovecha un exploit en algunos servidores del juego (los convierte en zombis ddos). ¡Gracias! - Aidan Knight
En realidad otra pregunta. He probado ambos en el filtro de captura (aplicación GUI) y ninguno de los dos pudo funcionar. Aparece el error "host de éter desconocido" cuando uso "ether dst 2F178581-F429-4AD8-AC39-CD8785651EDB" - Aidan Knight
Eso no es una dirección de mac ethernet - Zoredache
@BrettPowell En Windows, use el campo "Dirección física" de ipconfig /all - Jeff Ferland


Puede usar un filtro de captura con una dirección de red en lugar de la única dirección IP de su máquina, como "dst net 10.0.0.0/21". Esto capturaría cualquier paquete que se envíe de 10.0.0.1 a 10.0.7.254.

Alternativamente, puede usar tshark para filtrar posteriormente un archivo de captura usando -r ORIGINAL_FILE -w NEW_FILE -Y "filtros de pantalla". En los filtros de visualización, usaría "ip.dst == 10.0.0.0 / 21" para obtener el mismo conjunto de datos que con el filtro de captura anterior.


1
2018-01-23 19:37





Por favor, detén esta locura. Es muy poco práctico enumerar la dirección MAC / IP del host local cada vez que necesita esta función (sin mencionar los casos en que estos detalles pueden cambiar mientras se ejecuta el volcado), y la biblioteca pcap ya tiene esta facilidad. Solo tiene que usar 'entrante' en el filtro, y solo verá los paquetes recibidos en la interfaz, así de simple.


-1
2017-11-06 11:38



Los documentos de PCAP dicen que solo funciona para ciertas capas de enlace, como Linux cocinada - Arran Cudbard-Bell