从标准输入读取时，如何通过端口过滤 Wireshark？

【问题标题】：How can I make Wireshark filter by port when reading from standard in?从标准输入读取时，如何通过端口过滤 Wireshark？
【发布时间】：2015-01-23 13:39:45
【问题描述】：

我正在从 RawCap 生成的转储文件传输到 Wireshark 以监控本地流量，我如何指示 Wireshark 仅显示到某个目标端口的流量？

我在一个 Cygwin shell 中运行 RawCap，在另一个 shell 中运行 Wireshark 来监控 RawCap 的输出：

外壳 1：

RawCap.exe -f 127.0.0.1 dumpfile.pcap

外壳 2：

# How do I tell Wireshark to show only traffic to port 10000?
tail -c +0 -f dumpfile.pcap | Wireshark.exe -k -i -

【问题讨论】：

标签： tcp wireshark packet-sniffers

【解决方案1】：

指示wireshark过滤显示的数据包的适当标志是-Y，正如其手册页所报告的那样：

-Y <display filter> 从给定的显示过滤器开始

要过滤 TCP 的目标端口，请使用tcp.dstport==X，其中X 指定端口。

因此，完整的命令是：

tail -c +0 -f dumpfile.pcap | wireshark -k -i - -Y "tcp.dstport==10000"

This 是获取有关显示过滤器信息的良好起点。有关该主题的完整参考资料可在here 获得，其语法的详细解释可在here 获得。但是，值得注意的是，大多数基本过滤器都可以通过简单的在线搜索找到。

【讨论】：