소스/대상 주소, VLAN, VXLAN 및 패킷 페이로드를 소비하는 다음 수준 프로토콜을 위한 필터링 옵션을 적용하는 pktcap-uw 유틸리티를 사용하여 모니터링하는 패킷의 범위를 좁힙니다.

필터 옵션

pktcap-uw의 필터 옵션은 패킷을 캡처하고 추적할 때 사용할 수 있습니다. pktcap-uw 유틸리티의 명령 구문에 대한 자세한 내용은 패킷 캡처를 위한 pktcap-uw 명령 구문패킷 추적을 위한 pktcap-uw 명령 구문 항목을 참조하십시오.

표 1. pktcap-uw 유틸리티의 필터 옵션
옵션 설명
--srcmac mac_address 특정 소스 MAC 주소가 있는 패킷을 캡처하거나 추적합니다. 포함된 8진수를 콜론으로 구분합니다.
--dstmac mac_address 특정 대상 MAC 주소가 있는 패킷을 캡처하거나 추적합니다. 포함된 8진수를 콜론으로 구분합니다.
--mac mac_address 특정 소스 또는 대상 MAC 주소가 있는 패킷을 캡처하거나 추적합니다. 포함된 8진수를 콜론으로 구분합니다.
--ethtype 0xEthertype

패킷 페이로드를 소비하는 다음 수준 프로토콜에 따라 계층 2에서 패킷을 캡처하거나 추적합니다.

EtherType은 이더넷 프레임의 이더넷 유형 필드에 해당합니다. EtherType은 프레임 페이로드를 소비하는 다음 수준 프로토콜의 유형을 나타냅니다.

예를 들어 LLDP(링크 계층 탐색 프로토콜) 프로토콜의 트래픽을 모니터링하려면 --ethtype 0x88CC를 입력합니다.

--vlan VLAN_ID VLAN에 속하는 패킷을 캡처하거나 추적합니다.
--srcip IP_addess|IP_address/subnet_range 특정 소스 IPv4 주소 또는 서브넷이 있는 패킷을 캡처하거나 추적합니다.
--dstip IP_addess|IP_address/subnet_range 특정 대상 IPv4 주소 또는 서브넷이 있는 패킷을 캡처하거나 추적합니다.
--ip IP_addess 특정 소스 또는 대상 IPv4 주소가 있는 패킷을 캡처하거나 추적합니다.
--proto 0xIP_protocol_number

페이로드를 소비하는 다음 수준 프로토콜에 따라 계층 3에서 패킷을 캡처하거나 추적합니다.

예를 들어 UDP 프로토콜의 트래픽을 모니터링하려면 --proto 0x11을 입력합니다.

--srcport source_port 해당 소스 TCP 포트에 따라 패킷을 캡처하거나 추적합니다.
--dstport destination_port 해당 대상 TCP 포트에 따라 패킷을 캡처하거나 추적합니다.
--tcpport TCP_port 해당 소스 또는 대상 TCP 포트에 따라 패킷을 캡처하거나 추적합니다.
--vxlan VXLAN_ID VXLAN에 속하는 패킷을 캡처하거나 추적합니다.
--rcf pcap_filter_expression

풍부한 공통 필터 표현식을 사용하여 패킷을 캡처하거나 추적합니다.

예를 들어 IP 컨텐츠 길이가 1000바이트 보다 큰 모든 수신 및 송신 패킷을 캡처하려면 --rcf "ip[2:2]>1000" 필터 식을 사용합니다.

특정 소스 호스트 주소와 포트 번호를 선택하려면 --rcf "src host 12.0.0.1 and port 5000" 필터 식을 사용합니다. 이 예에서는 포트 5000을 사용하는 호스트 주소 12.0.0.1에 대한 트래픽을 필터링합니다.

--rcf 옵션을 사용하여 네트워크 트래픽을 필터링하는 방법에 대한 자세한 내용은 tcpdump와 같은 명령줄 패킷 분석기를 사용하는 pcap 필터 표현식에 대한 설명서를 참조하십시오. pcap-filter - 패킷 필터 구문을 참조하십시오.

참고: --rcf 옵션을 사용하는 경우 다음 제한 사항을 준수하십시오.
  • --rcf 옵션을 사용하여 VLAN 패킷을 필터링하지 마십시오. VLAN 또는 VXLAN을 추적하려면 pktcap-uw --vlan 또는 --vxlan 옵션을 사용합니다.
  • IP 브로드캐스트 주소를 필터링하지 마십시오.
  • ENS 포트에 --rcf를 사용하지 마십시오.
--rcf-tcp-data tcp_packet_data_filter

풍부한 공통 필터 표현식을 사용하여 TCP 데이터 패킷을 캡처하거나 추적합니다.

예를 들어 200 OK로 모든 HTTP/1.0 응답 패킷을 캡처하려면 --rcf-tcp-data "HTTP/1.0 200 OK" 필터 식을 사용합니다.

index.html 파일을 반환하는 HTTP GET 요청을 필터링하려면 --rcf-tcp-data "GET /index.html" 필터 식을 사용합니다.

세로 막대(|)는 대체 값을 나타냅니다.