dumpcap 是一个强大的网络数据包捕获工具,它是 Wireshark 套件的一部分。以下是一些使用 dumpcap 的技巧:
捕获数据包
dumpcap -i eth0 -w capture.pcap
这条命令会在 eth0 接口上捕获数据包,并将它们保存到 capture.pcap 文件中。
限制捕获的数据包数量
dumpcap -i eth0 -c 100 -w capture.pcap
这条命令会捕获最多 100 个数据包。
设置捕获文件的格式
dumpcap -i eth0 -w capture.pcap -F pcap
这条命令会将捕获的数据包保存为 pcap 格式。
使用过滤器
dumpcap -i eth0 -w capture.pcap 'port 80'
这条命令只会捕获目标端口为 80 的数据包。
设置捕获时间限制
dumpcap -i eth0 -w capture.pcap -G 60
这条命令会每 60 秒创建一个新的捕获文件。
使用 BPF 过滤器
dumpcap -i eth0 -w capture.pcap 'tcp port 80 and host example.com'
这条命令会捕获目标端口为 80 且目标主机为 example.com 的 TCP 数据包。
捕获特定接口的数据包
dumpcap -i wlan0 -w capture.pcap
这条命令会在 wlan0 接口上捕获数据包。
捕获特定时间范围内的数据包
dumpcap -i eth0 -w capture.pcap -s 0 -G 60 -C 10 -W bysec
这条命令会每 60 秒创建一个新的捕获文件,并且每个文件最多包含 10 个数据包。
-r:读取一个 pcap 文件并显示其中的数据包。-n:不将地址和端口转换为名称。-N:不解析协议层名称。-q:安静模式,减少输出信息。-v:详细模式,增加输出信息。-V:非常详细模式,显示更多调试信息。通过这些技巧,你可以更有效地使用 dumpcap 来捕获和分析网络数据包。