Dumpcap 是 Wireshark 的命令行版本,用于捕获、存储和分析网络流量。通常,Dumpcap 支持的网络协议包括以太网(Ethernet)、Wi-Fi(IEEE 802.11)、TCP/IP(包括 IPv4 和 IPv6)、UDP、ICMP(Internet Control Message Protocol)、ARP(Address Resolution Protocol)、RARP(Reverse Address Resolution Protocol)、SNMP(Simple Network Management Protocol)等。
要在 Debian 系统上使用 Dumpcap 进行协议分析,可以按照以下步骤进行:
sudo apt update
sudo apt install wireshark
dumpcap -D
dumpcap -i any
dumpcap -i eth0
dumpcap -i eth0 -w capture.pcap
dumpcap -i eth0 -f "tcp port 80" -w capture.pcap
dumpcap -i eth0 -f "tcp src port 80 or tcp dst port 443" -w capture.pcap
/etc/dumpcap.conf 或用户主目录下的 /.dumpcap ),可以添加各种选项来配置 Dumpcap。请注意,Dumpcap 需要 root 权限才能运行,因为它需要访问网络接口。在某些系统上,你可能需要先启动 dumpcap 服务,然后才能使用它。这可以通过编辑 /etc/default/dumpcap 文件并设置 ENABLED=1 来实现。
捕获大量数据包可能会占用大量磁盘空间,请确保你的存储设备有足够的空间。