dumpcap 是 Wireshark 套件中的一个命令行工具,用于捕获网络数据包。以下是使用 dumpcap 捕获数据包的基本步骤:
在大多数 Linux 发行版中,dumpcap 可以通过包管理器安装。例如,在基于 Debian 的系统(如 Ubuntu)上,可以使用以下命令安装:
sudo apt-get update
sudo apt-get install tcpdump
在基于 Red Hat 的系统(如 CentOS 或 Fedora)上,可以使用:
sudo yum install tcpdump
或者
sudo dnf install tcpdump
捕获所有接口的数据包
sudo dumpcap -i any
这将捕获所有网络接口上的数据包。
捕获特定接口的数据包
sudo dumpcap -i eth0
将 eth0 替换为你想要捕获数据包的网络接口名称。
捕获指定数量的数据包
sudo dumpcap -c 100 -i eth0
这将捕获 eth0 接口上的前 100 个数据包。
捕获指定大小的数据包
sudo dumpcap -s 65535 -i eth0
这将捕获 eth0 接口上每个数据包的最大 65535 字节。
将捕获的数据包保存到文件
sudo dumpcap -w capture.pcap -i eth0
这将捕获 eth0 接口上的数据包并将其保存到 capture.pcap 文件中。
实时查看捕获的数据包
sudo dumpcap -i eth0 -l
这将实时显示 eth0 接口上的数据包。
设置过滤器
sudo dumpcap -i eth0 -f "port 80"
这将只捕获 eth0 接口上目标端口为 80 的数据包。
使用 BPF 过滤器
sudo dumpcap -i eth0 -B -e -s 0 -w capture.pcap 'tcp port 80'
这将捕获 eth0 接口上所有 TCP 流量,并且只保存目标端口为 80 的数据包到 capture.pcap 文件中。
设置捕获时间限制
sudo dumpcap -i eth0 -G 60 -W bysec -w capture_%Y-%m-%d_%H-%M-%S.pcap
这将每 60 秒创建一个新的捕获文件,文件名包含日期和时间。
dumpcap 需要 root 权限来捕获数据包。dumpcap 时,请遵守相关的隐私和法律要求。通过这些步骤,你应该能够使用 dumpcap 成功捕获网络数据包。