【路由交换】抓包软件和常用过滤器总结

软件下载--免费
两种过滤器：
1：抓包（捕获）过滤器：Capture  Filter
     使用 伯克利包过滤（Berkeley Packet Filter,BPF）语言，依赖于使用BPF的libpcap，Winpcap库。

2：显示过滤器：Display  Filter
     显示过滤器的语法要迟于BPF，二者并不相同，虽然都称为“表达式”。

抓包过滤器设置：

  

二层常见过滤器总结：

1：ether host <> ：抓取指定的以太网流量（源或目的MAC地址）
      如： ether  host  1C-6F-65-5D-EB-94 
2：ether dst <> ：抓取去往指定目的MAC的以太网流量
      如： ether  dst  host  1C-6F-65-5D-EB-94 
      或： ether  dst  1C-6F-65-5D-EB-94 
3：ether src<> ：抓取来源指定源MAC的以太网流量      如： ether  src  1C-6F-65-5D-EB-94  
4：ether broadcast ：抓取以太网广播流量    ?
5：ether multicast ：抓取以太网多播流量     ?
6：ether proto <> ：所抓指定的以太网协议类型的流量
      如：ether proto 0x0806     ether proto 0x0800     ether proto 0x86dd
7：vlan <>：只抓取指定vlan的流量
      如： vlan 2          ! vlan 2           vlan 2 && vlan 3  ?      vlan 2 || vlan 3
                                not vlan 2        vlan 2 and vlan 3 ?       vlan 2 or vlan 3

三层常见过滤器总结：
1：ip、ip6：只抓取IPv4或者IPv6的数据包
2：host <>：只抓取来源源于或发往所指定的主机名或IP地址的流量
     如：host 192.168.1.1  或  host  www.baidu.com   或  host  xiaoniupc
3：dst host <>：只抓取发往指定主机名或IP地址的流量
4：src host <>：只抓取来源于指定主机名或IP地址的流量
5：gateway <>：只抓取穿过host的流量   ?
6：net<>：只抓取来源于或发往指定网络号的流量
     如：net 192.168.1.0/24 或：net 192.168.1.0 mask 255.255.255.0
7：dst net <>：只抓取发往指定网络号的流量
8：src net <>：只抓取来源于指定网络号的流量

9：ip broadcast ：只抓取IP广播包
10：ip multicast ：只抓取IP多播包
11：ip proto <>：只抓取IP报头的协议类型字段值等于特定值的数据包
       如：常见协议号：1、2、6、17、88、89、47、112等  ?
12：icmp [icmptype]==<>：只抓取特定类型的ICMP数据包
       如： icmp [icmptype]==0  或  icmp [icmptype] == icmp-reply
       如： icmp [icmptype]==8  或  icmp [icmptype] == icmp-echo