從標準中讀取時，如何通過端口進行Wireshark過濾？

Question

我從RawCap生成的轉儲文件傳輸到Wireshark以監控本地流量，我如何指示wireshark只顯示到某個目標端口的流量？

我在一個Cygwin的殼運行RawCap，和Wireshark在另一個去監測RawCap的輸出：

殼1：

RawCap.exe -f 127.0.0.1 dumpfile.pcap 

殼2：

# How do I tell Wireshark to show only traffic to port 10000? 
tail -c +0 -f dumpfile.pcap | Wireshark.exe -k -i - 

Answer 1

指示wireshark過濾顯示的數據包的適當標誌是-Y，作爲其人頁報告：

-Y <display filter>啓動與所述給定顯示器濾光片

爲了濾除TCP的目的地端口，使用tcp.dstport==X其中X指定端口。

因此，完整的命令是：

tail -c +0 -f dumpfile.pcap | wireshark -k -i - -Y "tcp.dstport==10000" 

---

This是用於在顯示過濾器的信息的良好起點。有關該主題的完整參考資料可以從here獲得，其語法的詳細說明可用here。但值得注意的是，大多數基本的過濾器都可以通過簡單的在線搜索找到。