目前我有一些流量被转发到数据中心的机器,这台机器有一个PCAP脚本运行以获取所有这些流量。在X时间段之后,使用7 zip压缩文件以使文件尽可能小。
此时的工作流程涉及直接从数据中心收集文件并上传到工作机器进行分析。我们可以访问网络上的另一台机器,而不是数据中心,并希望通过网络收集文件。唯一的问题是PCAP然后在文件中包含这种传输,并且因为它们已经被压缩导致文件的大小增加,从10 MB到10 MB +。
收集所有网络流量非常重要,因此我希望过滤掉这两台机器之间的传输,而不是指定我需要捕获的所有连接。
我尝试添加:
“-f not src net 10.213.121.13”“ - 不是主机10.213.121.13”到脚本,但在这两种情况下都抱怨语法问题。任何想法如何实现这一点将不胜感激。
脚本:
dumpcap -i1 -b filesize:100000个文件:200 -f不是src net 10.213.121.13 -w C:\ WIRESHARK_LOGS \ log_dumpcap
问题是dumpcap要求引用过滤器表达式,与TCPDump不同,它可能被引用(或者如果它包含BPF过滤器或其他shell消化的字符则需要引号)。因此,以下内容应该可以解决您的问题:
dumpcap -i1 -b filesize:100000 files:200 -f 'not src host 10.213.121.13' -w C:\WIRESHARK_LOGS\log_dumpcap
但是,我假设您将使用TCP来传输文件。如果是这种情况,你真的不想要ACK数据包,所以:
dumpcap -i1 -b filesize:100000 files:200 -f 'not host 10.213.121.13' -w C:\WIRESHARK_LOGS\log_dumpcap
不过,我建议您可能希望进一步完善它。我建议指定用于传输的端口,这样您就不会使自己对进出10.213.121.13框的所有其他流量感到盲目。