dumpcap 是 Wireshark 套件中的一个命令行工具,用于捕获网络流量。要设置捕获过滤器,您需要在启动 dumpcap 时使用 -f 或 --filter 选项来指定过滤器表达式。
以下是设置捕获过滤器的基本步骤:
确定过滤器表达式:
首先,您需要知道想要捕获的流量的特征。例如,如果您只想捕获 HTTP 流量,可以使用过滤器表达式 port 80 或 tcp.port == 80。
启动 dumpcap 并设置过滤器:
打开命令行界面(如终端或命令提示符),然后输入以下命令来启动 dumpcap 并设置捕获过滤器:
dumpcap -i <interface> -w <output_file> -f "<filter_expression>"
其中:
<interface> 是您想要捕获流量的网络接口名称,例如 eth0 或 Wi-Fi。<output_file> 是您想要保存捕获数据的文件名,例如 capture.pcap。<filter_expression> 是您之前确定的过滤器表达式。例如,如果您想捕获所有通过 eth0 接口的 HTTP 流量并将其保存到 http_traffic.pcap 文件中,您可以输入以下命令:
dumpcap -i eth0 -w http_traffic.pcap -f "tcp.port == 80"
运行命令并等待捕获完成:
运行上述命令后,dumpcap 将开始捕获符合过滤器表达式的流量,并将其保存到指定的文件中。捕获完成后,您可以关闭命令行界面或使用 Ctrl+C 停止 dumpcap。
请注意,捕获过滤器是在数据包到达网络接口时应用的,因此它们可以减少捕获的数据量并提高性能。此外,确保您有足够的权限来捕获网络流量,因为某些操作系统可能需要管理员权限才能执行此操作。