http.host фильтр для захвата tshark
Я хотел бы захватить трафик на конкретное доменное имя. Я попробовал следующий фильтр Wireshark
http.host == 'example.com'
Это работает, но через несколько часов временные данные становятся очень большими, поэтому я попытался использовать фильтры tshark & capture для захвата и сохранения трафика, который идет на example.com.
tshark -i eth0 -f "Host example.com" -w "/tmp/d.pcap"
Тем не менее, это захватывает все.
Есть ли в любом случае я могу захватить только трафик, идущий на конкретное доменное имя?
1 ответ
Фильтры захвата чувствительны к регистру:
tshark -i eth0 -f "host example.com" -w "/tmp/d.pcap"