Dumpcap 是 Wireshark 的命令行版本,用于捕获、存储和分析网络流量。它与 Wireshark 配合使用的常见流程是:首先使用 Dumpcap 抓取网络数据包并保存到文件中,然后使用 Wireshark 打开该文件进行详细分析。以下是具体步骤:
使用 Dumpcap 捕获数据包:
dumpcap -D
20190813.pcap
文件中:dumpcap -i p2p1 -w 20190813.pcap
在 Wireshark 中打开数据包文件:
20190813.pcap
文件,然后使用 Wireshark 的过滤功能来过滤和分析数据包。过滤数据包:
dumpcap -i eth0 -w output.pcap 'ip.addr == 192.168.1.100'
实时显示数据包:
dumpcap -i eth0 -w output.pcap
File -> Open
选择 output.pcap
文件进行实时分析。并行捕获:
-w
参数将抓包数据写入多个文件,并并行运行多个 Dumpcap 进程,充分利用多核 CPU 资源。例如:dumpcap -i eth0 -nn -s 0 -w file1.pcap & dumpcap -i eth0 -nn -s 0 -w file2.pcap &
这条命令会将 eth0
接口上的数据包分别保存到 file1.pcap
和 file2.pcap
文件中,并且两个进程会并行运行。通过这些步骤,可以实现高效的网络流量捕获和分析,充分利用 Wireshark 强大的图形界面和 Dumpcap 的高效性能。