Wireshark 過濾器僅擷取傳入數據包？

我正在嘗試設置一個僅擷取傳入流量的過濾器（因此我的日誌文件不是很大）。我查看了http://wiki.wireshark.org/CaptureFilters但到目前為止還沒有找到方法來做到這一點。有誰知道怎麼做？

順便問一下，當登錄到 Wireshark 中的多個文件時，您可以稍後查看完整的數據包資訊嗎？

您只想擷取發往主機 IP 的流量：

dst host <your Ip>

抱歉，將其讀作顯示過濾器。以上已針對 CAPTURE 過濾器語法進行了更正。

您的擷取請求會only incoming traffic導致一些歧義。傳入這個詞在網路中可能至少有兩種不同的含義。

第一個含義是特定介面/設備接收到的數據包相對簡單。Jeff 提供的答案就是您想要的。您基本上只需要過濾具有與您的網路介面匹配的 IP 或 MAC 地址的數據包。

網路中的傳入還有另一種常見用法，因為它與全狀態防火牆有關。這通常是由遠端系統發起的所有活動流量。如果這是你真正想要的。所有由遠端系統發起的連接，以及與這些連接相關的所有數據包，那麼我相信你運氣不好。我上次看PCAP時根本沒有狀態匹配能力。因此，如果這就是您要尋找的東西，那麼我相信您很不走運。

引用自：https://serverfault.com/questions/348124