dumpcap在ubuntu中的使用技巧

安装

sudo apt update && sudo apt install wireshark  # 安装Wireshark（含dumpcap）
# 或编译安装（需依赖libpcap-dev等库）

基础使用

• 捕获数据包：指定接口并保存到文件
  sudo dumpcap -i eth0 -w output.pcap
• 限制数量/大小：
  -c 100（捕获100个包）
  -C 100 -G 3600（每1小时生成100MB文件，自动轮转）
• 实时查看：-l选项配合-q减少输出

过滤技巧

• BPF语法过滤：
  -f "tcp port 80"（仅捕获HTTP流量）
  -f "ip.src == 192.168.1.100"（仅捕获指定IP的包）
• 显示特定字段：-T fields -e frame.number -e ip.src

高级用法

• 多接口捕获：-i eth0 -i wlan0
• 时间戳格式：-t ad（显示绝对时间）
• 权限配置：若普通用户无法捕获，需赋予权限
  sudo setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap

注意事项

• 需sudo权限运行
• 大量捕获可能占用磁盘空间，建议定期清理
• 敏感数据需遵守隐私法规

更多参数可通过man dumpcap查看手册页。