在Linux中,dumpcap 是一个命令行工具,用于捕获网络数据包。它允许你使用过滤器来指定只捕获感兴趣的数据包。过滤器的语法基于BPF(Berkeley Packet Filter)语法。
要设置 dumpcap 的过滤器,请按照以下步骤操作:
打开终端。
输入 dumpcap 命令,后跟你想要设置的过滤器表达式。例如,如果你只想捕获发送到或来自特定IP地址的数据包,你可以使用以下命令:
sudo dumpcap -i eth0 host 192.168.1.1
这里,-i eth0 表示监听 eth0 网络接口,host 192.168.1.1 是过滤器表达式,表示只捕获与IP地址 192.168.1.1 相关的数据包。
如果你想要捕获特定端口的数据包,可以使用 port 关键字。例如,要捕获发送到或来自端口 80 的数据包,可以使用以下命令:
sudo dumpcap -i eth0 port 80
你还可以组合多个过滤器表达式来捕获更复杂的数据包。例如,要捕获发送到或来自IP地址 192.168.1.1 且目标端口为 80 的数据包,可以使用以下命令:
sudo dumpcap -i eth0 host 192.168.1.1 and port 80
如果你对过滤器语法不熟悉,可以查阅BPF过滤器文档或在互联网上搜索相关教程。
注意:在某些系统上,你可能需要使用 sudo 命令来获取管理员权限,以便运行 dumpcap。