更新履歴
(2012.04.30) 作成。
インデックスのページへ。
フィルターのルール
Libpcap は pcap_compile(3cap) に文字列でフィルターを与えることができる。
ホストで制限
- dst host host
- パケットの送信先が host のパケットだけをキャプチャする。host は IPv4/v6 の IP アドレスまたはホスト名で指定する。
- src host host
- パケットの送信元が host のパケットだけをキャプチャする。host の解釈は同上。
- host host
- パケットの送信先または送信元が host のパケットだけをキャプチャする。host の解釈は同上。
- ether dst ehost
- パケットの送信先が ehost のパケットだけをキャプチャする。ehost は 00:0c:29:d0:99:2a のようなイーサネットの MAC アドレスで指定する。
- ether src ehost
- パケットの送信元が ehost のパケットだけをキャプチャする。ehost の解釈は同上。
- ether host ehost
- パケットの送信先または送信元が ehost のパケットだけをキャプチャする。ehost の解釈は同上。
- gateway host
- host で指定されたゲートウェイを経由したパケットだけをキャプチャする。
- dst net net
- パケットの送信先が net のパケットだけをキャプチャする。net は IPv4/v6 の IP アドレスで 192.168.1.0 や 172.16 のように指定する。クラスよりも細かい指定はできないかも。
- src net net
- パケットの送信元が net のパケットだけをキャプチャする。net の解釈は同上。
- net net
- パケットの送信先または送信元が net のパケットだけをキャプチャする。net の解釈は同上。
- net net mask netmask
- パケットの送信先または送信元が net のパケットだけをキャプチャする。これは IPv4 アドレスのみの指定で
- net net/len
- パケットの送信先または送信元が net のパケットだけをキャプチャする。これは IPv4/v6 アドレスの指定が可能で len にはネットマスクのビット長を指定する。
ポートで制限
- dst port port
- パケットの送信先のポート番号を指定する。これはパケットの種類が ip/tcp、ip/udp、ip6/tcp、ip6/udp の場合に有効になる。port には番号か /etc/services 以下のポート名を指定する。
- src port port
- パケットの送信元のポート番号を指定する。port の解釈は同上。
- port port
- パケットの送信先または送信元のポート番号を指定する。port の解釈は同上。
- dst portrange port1-port2
- パケットの送信先のポート番号を指定する。これはパケットの種類が ip/tcp、ip/udp、ip6/tcp、ip6/udp の場合に有効になる。port1-port2 にはポート番号の区画を指定する。
- src portrange port1-port2
- パケットの送信元のポート番号を指定する。port1-port2 の解釈は同上。
- portrange port1-port2
- パケットの送信先または送信元のポート番号を指定する。port1-port2 の解釈は同上。
パケット長で制限
- less length
- パケットの長さが length 以下の場合にのみキャプチャする。len <= length とも書ける。
- greater length
- パケットの長さが length 以上の場合にのみキャプチャする。len >= length とも書ける。
パケットのプロトコールで制限
- ip proto protocol
- パケットが IPv4 パケットでかつプロトコールが protocol に一致するものだけをキャプチャする。protocol に指定できるのは icmp, icmp6, igmp, igrp, pim, ah, esp, vrrp, udp, tcp である。ただし tcp と udp と icmp はバックスラッシュでエスケープして \tcp, \udp, \icmp として渡す必要がある。
- ip6 proto protocol
- パケットが IPv6 パケットでかつパケットのプロトコールが protocol に一致するものだけをキャプチャする。この指定はプロトコルヘッダーチェインを追跡しない。
- ip6 protochain protocol
- パケットが IPv6 パケットでかつパケットのプロトコールが protocol に一致するものだけをキャプチャする。この指定はプロトコルヘッダーチェイン内を追跡する。
- ip protochain protocol
- パケットが IPv4 パケットでかつパケットのプロトコールが protocol に一致するものだけをキャプチャする。
コメント
コメントを書き込む
TOP