dumpcap 是 Wireshark 中的一个命令行工具,用于捕获网络数据包
首先,确定你要捕获的特定协议的端口号。例如,如果你要捕获 TCP 协议的数据包,你需要知道源端口和目标端口。
使用 dumpcap 的 -i 选项指定要监听的网络接口。例如,要监听名为 eth0 的接口,可以使用以下命令:
dumpcap -i eth0
-f 选项指定过滤器表达式。过滤器表达式应该包含协议名称和端口号。例如,要捕获源端口为 80(HTTP)和目标端口为 443(HTTPS)的 TCP 数据包,可以使用以下命令:dumpcap -i eth0 -f "tcp src port 80 or tcp dst port 443"
这里,我们使用了 or 逻辑运算符来捕获源端口为 80 或目标端口为 443 的数据包。
dumpcap 的行为,例如 -w 选项将捕获的数据包写入文件,-c 选项指定捕获的数据包数量等。注意:在使用 dumpcap 时,可能需要管理员权限。在这种情况下,可以使用 sudo 命令:
sudo dumpcap -i eth0 -f "tcp src port 80 or tcp dst port 443"