捕获过滤器 PCAP - 过滤 IP 地址以减小文件大小

Question

目前我有一些流量被转发到数据中心的一台机器上，这台机器运行着一个 PCAP 脚本来抓取所有这些流量。 X 段时间后，使用 7 zip 压缩文件以使文件尽可能小。

目前的工作流程包括直接从数据中心收集文件并上传到工作机器进行分析。我们可以访问网络上不在数据中心的另一台机器，并希望通过网络收集文件。唯一的问题是 PCAP 然后将这种传输包含在文件中，并且由于它们已经被压缩，导致文件大小膨胀，从 10 MB 以下到 80 MB+。

收集所有网络流量很重要，所以我希望只是过滤掉这两台机器之间的传输，而不是指定我需要捕获的所有连接。

我尝试添加：

"-f 不是 src 网络 10.213.121.13" “-f 不是主机 10.213.121.13” 到脚本，但在这两种情况下，它都抱怨语法问题。任何关于如何实现这一点的想法都将不胜感激。

脚本：

dumpcap -i1 -b 文件大小：100000 个文件：200 -f not src net 10.213.121.13 -w C:\WIRESHARK_LOGS\log_dumpcap

Answer 1

问题在于dumpcap 要求过滤器表达式被引用，不像 TCPDump，它可能被引用（或者如果它包含 BPF 过滤器或其他 shell 消化字符，则需要引号）。因此，按照您的要求，以下内容应该可以解决您的问题：

dumpcap -i1 -b filesize:100000 files:200 -f 'not src host 10.213.121.13' -w C:\WIRESHARK_LOGS\log_dumpcap

但是，我假设您将使用 TCP 传输文件。如果是这样的话，你也真的不想要 ACK 数据包，所以：

dumpcap -i1 -b filesize:100000 files:200 -f 'not host 10.213.121.13' -w C:\WIRESHARK_LOGS\log_dumpcap

不过，我建议您可能需要进一步完善它。我建议指定用于传输的端口，这样您就不会对进出 10.213.121.13 框的所有其他流量视而不见。