捕获Wireshark过滤器时出现的问题

Question

我正在尝试使用以下选项从cli启动wireshark ...

wireshark -k -i eth2 -a filesize:1000000 -f <capture filter>

我的问题是我想使用预定义的wireshark过滤器...当我用cli cmd中的实际过滤器运行上面的代码时，它工作了，当我使用一个预定义的过滤器时，它失败了。

工作示例：

wireshark -k -i eth2 -a filesize:1000000 -f "host 40.40.41.42"

失败示例(我正在尝试使用的示例)：

wireshark -k -i eth2 -a filesize:1000000 -f pre-defined-capture1

在"Capture -> Options -> Capture Filter“列表下显示预定义的-capture1过滤器的地方...

我得到的错误是过滤器无效，我想指定我在捕获过滤器列表中保存的过滤器，如果可能的话…

有什么想法吗？

Answer 1

当您选择"Capture -> Capture Filters“时，您将看到一个窗口，您可以在其中定义、更改和删除捕获筛选器以供将来使用。实际上，您不能从那里激活捕获过滤器。

其中一个原因是，一些捕获过滤器可能在某些物理接口上工作，而在其他物理接口上可能不工作。这就是为什么在启动捕获会话时需要使用捕获选项激活捕获过滤器的原因。

转到"Capture -> Options“并使用"Capture Filter”按钮选择预定义的捕获筛选器。或者只需在对话框中键入所需的筛选器。

如果您使用的是版本1.7.0 (或更高版本)，则需要首先双击要捕获的接口，因为从版本1.7.0开始，您可以一次在多个接口上捕获，并且可以为每个接口设置不同的捕获过滤器。