pktmon 필터 추가
Pktmon 필터 추가를 사용하면 필터를 추가하여 보고되는 패킷을 제어할 수 있습니다. 패킷이 보고되려면 적어도 하나의 필터에 지정된 모든 조건과 일치해야 합니다. 최대 32개의 필터를 한 번에 활성화할 수 있습니다.
구문
pktmon filter add <name> [-m <mac> [mac2]] [-v <vlan>] [-d { IPv4 | IPv6 | number }]
[-t { TCP [flags...] | UDP | ICMP | ICMPv6 | number }]
[-i <ip> [ip2]] [-p <port> [port2]] [-b] [-e [port]]
필터의 이름이나 설명은 선택 사항으로 입력할 수 있습니다.
참고 항목
두 개의 MAC(-m), IP(-i) 또는 포트(-p)를 지정하면 필터는 두 가지를 모두 포함하는 패킷을 일치시킵니다. 이 목적을 위해 소스 또는 대상을 구분하지 않습니다.
매개 변수
이더넷 프레임, IP 헤더, TCP/UDP 헤더, 클러스터 하트비트, 캡슐화에 대한 매개 변수를 제공할 수 있습니다.
| 매개 변수 | 설명 |
|---|---|
| -m, --mac[-address] | 원본 또는 대상 MAC 주소와 일치합니다. 위의 참고를 참조하세요. |
| -v, --vlan | 802.1Q 헤더의 VLAN ID(VID)와 일치합니다. |
| -d, --data-link[-protocol], --ethertype | 데이터 링크(계층 2) 프로토콜로 일치시킵니다. IPv4, IPv6, ARP 또는 프로토콜 번호일 수 있습니다. |
| -t, --transport[-protocol], --ip-protocol | 전송(계층 4) 프로토콜별로 일치시킵니다. TCP, UDP, ICMP, ICMPv6 또는 프로토콜 번호일 수 있습니다. TCP 패킷을 추가로 필터링하려면 일치시킬 TCP 플래그 목록을 선택 사항으로 제공할 수 있습니다. 지원되는 플래그는 FIN, SYN, RST, PSH, ACK, URG, ECE 및 CWR입니다. |
| -i, --ip[-address] | 원본 또는 대상 IP 주소와 일치합니다. 위의 참고를 참조하세요. 서브넷별로 일치시키려면 접두사 길이와 함께 CIDR 표기법을 사용합니다. |
| -p, --port | 원본 또는 대상 포트 번호와 일치합니다. 위의 참고를 참조하세요. |
| -b, --heartbeat | UDP 포트 3343을 통해 RCP 하트비트 메시지를 일치시킵니다. |
| -e, --encap | 위의 필터링 매개변수를 내부 및 외부 캡슐화 헤더에 모두 적용합니다. 지원되는 캡슐화 방법은 VXLAN, GRE, NVGRE 및 IP-in-IP입니다. 사용자 지정 VXLAN 포트는 선택 사항이며 기본값은 4789입니다. |
예제
다음 필터 세트는 포트 53의 모든 트래픽과 함께 IP 주소 10.0.0.10을 오가는 모든 ICMP 트래픽을 캡처합니다.
C:\Test> pktmon filter add -i 10.0.0.10 -t icmp
C:\Test> pktmon filter add -p 53
다음 필터는 IP 주소 10.0.0.10에서 주고받는 모든 SYN 패킷을 캡처합니다.
C:\Test> pktmon filter add -i 10.0.0.10 -t tcp syn
다음 MyPing이라는 필터는 ICMP 프로토콜을 사용하여 10.10.10.10을 ping합니다.
C:\Test> pktmon filter add MyPing -i 10.10.10.10 -t ICMP
MySmbSyb라는 다음 필터는 TCP 동기화 SMB 트래픽을 캡처합니다.
C:\Test> pktmon filter add MySmbSyn -i 10.10.10.10 -t TCP SYN -p 445
MySubnet이라는 다음 필터는 CIDR 표기법에서 서브넷 마스크 255.255.255.0 또는 /24의 트래픽을 캡처합니다.
C:\Test> pktmon filter add MySubnet -i 10.10.10.0/24