论坛徽章:: 1

电梯直达

1楼 [收藏(0)] [报告]

发表于 2009-03-03 19:10 |只看该作者 |倒序浏览

20可用积分

是抓包过滤规则，而不是显示规则，就是只抓我规则里的包

要只抓http的，其它的都不要，比如说TCP连接的包不要

网上说抓http包的规则都是tcp port 80，但是所有向80端口发起的TCP包都会抓到，如果有攻击的话，HTTP包就被淹没在这些包里了

所以只要HTTP的，有ethereal0.99有没有办法做到呢

最佳答案

ssffzz1

查看完整内容

这个应该比较困难。有本书叫做 TCPDUMP中文手册，还可以参考LIBPCAP库手册。

文库|博客

ssffzz1

广告杀手

论坛徽章:: 5

2楼 [报告]

发表于 2009-03-03 19:10 |只看该作者

这个应该比较困难。

有本书叫做 TCPDUMP中文手册，还可以参考LIBPCAP库手册。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

asdfmaomao

白手起家

论坛徽章:: 0

3楼 [报告]

发表于 2009-03-04 10:17 |只看该作者

在抓包的时候可以根据你的选择，比如只抓IP地址为固定多少的。或者MAC地址为都少的。或者tcp端口号是808的。都可以设置地！

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

luffy.deng

腰缠万贯

论坛徽章:: 0

4楼 [报告]

发表于 2009-03-04 14:35 |只看该作者

还在用ehereal ？？用Wireshark吧filter里直接就有http

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

number321

家境小康

论坛徽章:: 1

5楼 [报告]

发表于 2009-03-05 00:37 |只看该作者

wireshark和ethereal用的pcap区别大吗

是不是pcap的抓包规则里面,没有我说的那种呢

就是只抓连接形成后,真正发来的HTTP包,而不是只简单地抓所有的向80端口的TCP包

如果有...可不可以直接把这条规则告诉我,急用....

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

luffy.deng

腰缠万贯

论坛徽章:: 0

6楼 [报告]

发表于 2009-03-05 08:42 |只看该作者

原帖由 number321 于 2009-3-5 00:37 发表
wireshark和ethereal用的pcap区别大吗

是不是pcap的抓包规则里面,没有我说的那种呢

就是只抓连接形成后,真正发来的HTTP包,而不是只简单地抓所有的向80端口的TCP包

如果有...可不可以直接把这条规则告诉 ...

pcap是一样的, wireshark的filter有一个直接就是http,应该是抓向80端口的TCP包过滤的结果，比如 /GET(.*)HTTP.*Host