如何用dumpcap过滤特定流量

使用dumpcap过滤特定流量的方法如下：

安装Dumpcap

在Debian系统上，可以使用以下命令安装Dumpcap：

sudo apt update
sudo apt install wireshark

基本捕获和过滤

• 捕获所有接口上的流量：

sudo dumpcap -i any

• 捕获特定接口上的流量（例如eth0）：

sudo dumpcap -i eth0

• 使用过滤器：在捕获时应用过滤器，只捕获符合条件的数据包。

  • 显示所有TCP数据包：

    sudo dumpcap -i any 'tcp'
    

  • 显示特定源IP的数据包（例如192.168.1.1）：

    sudo dumpcap -i any 'src host 192.168.1.1'
    

  • 显示特定目标IP的数据包（例如192.168.1.2）：

    sudo dumpcap -i any 'dst host 192.168.1.2'
    

  • 显示特定端口的数据包（例如80端口）：

    sudo dumpcap -i any 'port 80'
    

  • 组合多个过滤器（例如，显示源IP为192.168.1.1且目标端口为80的数据包）：

    sudo dumpcap -i any 'src host 192.168.1.1 and dst port 80'
    

保存捕获文件

可以将捕获的数据包保存到文件中，以便后续分析：

sudo dumpcap -i any -w capture.pcap

读取捕获文件

使用Wireshark或其他工具读取保存的捕获文件：

wireshark capture.pcap

请注意，使用dumpcap需要root权限来捕获网络流量，因此通常需要使用sudo。