带有RPCAP的TSHARK也捕获了自己的界面

Question

平台。这是一个示例： -

远程计算机： - IP地址192.168.100.100（Say）和接口名称-ETH1（SAS）bash $：-sudo ./rpcapd -n

客户端：-IP地址192.168.100.200 bash $：-Sudo tshark -w output.pcap -i rpcap：//192.168.100.100.100/eth6 -f“ IP Proto 132”

数据包捕获正在成功运行，并且数据包也被捕获。但它还从与远程计算机的接口无关的机器接口访问和从其界面的数据包捕获。

请帮助我理解这一点。

Answer 1

问题是由于混杂模式引起的。

我尝试了：

$sudo tshark -p -w output.pcap -i rpcap://192.168.100.100/eth6 -f "ip proto 132"

它起作用了！！选项-P表示该接口不会放置在混杂模式下。

这是细节： -https://www.wireshark.org/docs/man-pages/tshark.html

Answer 2

您可以通过添加过滤器来排除捕获主机的流量：

 tshark -f '(host not 192.168.100.200) and (ip proto 132)'