捕獲過濾器PCAP - 過濾IP地址以減小文件大小

Question

目前，我有一些流量正在轉發到數據中心中的某臺計算機，因此此計算機上運行的PCAP腳本可以捕獲所有這些流量。經過一段時間後，使用7 zip壓縮文件以使文件儘可能小。

目前的工作流程包括直接從數據中心收集文件並上傳到工作機器進行分析。我們可以訪問網絡中不在數據中心的另一臺計算機，並希望通過網絡收集這些文件。唯一的問題是，PCAP將這種傳輸包含在文件中，並且它們已經被壓縮，導致文件大小膨脹，從小於10MB增加到80MB +。

收集所有網絡流量非常重要，所以我希望只是爲了過濾掉這兩臺機器之間的傳輸，而不是指定我需要捕獲的所有連接。

我嘗試添加：

「-f不SRC淨10.213.121.13」 「-f不是主機10.213.121.13」 的腳本，但在這兩種情況下，它抱怨語法問題。任何想法如何實現這一點，將不勝感激。

腳本：

dumpcap -I，-B文件大小：100000個文件：200 -f不SRC淨10.213.121.13 -w C：\ WIRESHARK_LOGS \ log_dumpcap

Answer 1

的問題是，dumpcap要求不像TCPDump那樣可以引用過濾器表達式（或者如果包含BPF過濾器或其他shell消解字符，將需要引號）。因此，下面應該可以解決你的問題，因爲你問它：

dumpcap -i1 -b filesize:100000 files:200 -f 'not src host 10.213.121.13' -w C:\WIRESHARK_LOGS\log_dumpcap 

不過，我假設你將使用TCP來傳輸文件。如果是這樣的話，你真的不想要的ACK包要麼，所以：

dumpcap -i1 -b filesize:100000 files:200 -f 'not host 10.213.121.13' -w C:\WIRESHARK_LOGS\log_dumpcap 

我會建議然而，您可能希望調整更多。我建議指定用於傳輸的端口，這樣您就不會盲目進入10.213.121.13框中的所有其他流量。