使用 pktcap-uw 公用程式為來源和目的地位址、VLAN、VXLAN 以及耗用封包裝載的下一層級通訊協定套用篩選選項,以縮小所監控之封包的範圍。

篩選器選項

pktcap-uw 的篩選器選項在擷取和追蹤封包時有效。如需 pktcap-uw 公用程式命令語法的相關資訊,請參閱用於擷取封包的 pktcap-uw 命令語法用於追蹤封包的 pktcap-uw 命令語法

表 1. pktcap-uw 公用程式的篩選器選項
選項 說明
--srcmac mac_address 擷取或追蹤具有特定來源 MAC 位址的封包。使用冒號分隔其中的八位元。
--dstmac mac_address 擷取或追蹤具有特定目的地 MAC 位址的封包。使用冒號分隔其中的八位元。
--mac mac_address 擷取或追蹤具有特定來源或目的地 MAC 位址的封包。使用冒號分隔其中的八位元。
--ethtype 0xEthertype

根據耗用封包裝載的下一層級通訊協定擷取或追蹤第 2 層上的封包。

EtherType 與乙太網路框架中的 EtherType 欄位對應。EtherType 代表將耗用框架裝載的下一層級通訊協定的類型。

例如,若要監控連結層探索通訊協定 (LLDP) 的流量,請輸入 --ethtype 0x88CC
--vlan VLAN_ID 擷取或追蹤屬於 VLAN 的封包。
--srcip IP_addess|IP_address/subnet_range 擷取或追蹤具有特定來源 IPv4 位址或子網路的封包。
--dstip IP_addess|IP_address/subnet_range 擷取或追蹤具有特定目的地 IPv4 位址或子網路的封包。
--ip IP_addess 擷取或追蹤具有特定來源或目的地 IPv4 位址的封包。
--proto 0xIP_protocol_number

根據耗用裝載的下一層級通訊協定擷取或追蹤第 3 層上的封包。

例如,若要針對 UDP 通訊協定監控流量,請輸入 --proto 0x11
--srcport source_port 根據其來源 TCP 連接埠擷取或追蹤封包。
--dstport destination_port 根據其目的地 TCP 連接埠擷取或追蹤封包。
--tcpport TCP_port 根據其來源或目的地 TCP 連接埠擷取或追蹤封包。
--vxlan VXLAN_ID 擷取或追蹤屬於 VXLAN 的封包。
--rcf pcap_filter_expression

使用富通用篩選運算式來擷取或追蹤封包。

例如,若要擷取其 IP 內容長度大於 1000 位元組的所有入口和出口封包,請使用篩選運算式 --rcf "ip[2:2]>1000"

若要選取特定的來源主機位址和連接埠號碼,請使用篩選運算式 --rcf "src host 12.0.0.1 and port 5000"。此範例會使用連接埠 5000 篩選主機位址 12.0.0.1 的流量。

若要進一步瞭解如何使用 --rcf 選項篩選網路流量,請參閱有關使用命令列封包分析器 (例如 tcpdump) 的 pcap 篩選運算式的說明文件。請參閱 pcap-filter - 封包篩選語法

備註: 如果使用 --rcf 選項,請遵守下列限制。
  • 不要使用 --rcf 選項篩選 VLAN 封包。若要追蹤 VLAN 或 VXLAN,請使用 pktcap-uw --vlan--vxlan 選項。
  • 不要篩選 IP 廣播位址。
  • 不要在 ENS 連接埠上使用 --rcf
--rcf-tcp-data tcp_packet_data_filter

使用富通用篩選運算式來擷取或追蹤 TCP 資料封包。

例如,若要擷取具有 200 OK 的所有 HTTP/1.0 回應封包,請使用篩選運算式 --rcf-tcp-data "HTTP/1.0 200 OK"

若要對傳回 index .html 檔案的 HTTP GET 要求進行篩選,請使用篩選運算式 --rcf-tcp-data "GET /index.html"

分隔號 | 表示備用值。