如何用ubuntu分析dumpcap文件

在Ubuntu上分析dumpcap文件，可先安装Wireshark或tshark工具，然后用它们打开dumpcap生成的.pcap文件，具体如下：

• 安装工具：
  • 安装Wireshark（图形界面工具）：sudo apt update，sudo apt install wireshark。
  • 或安装tshark（命令行工具）：sudo apt install wireshark-cli。
• 用Wireshark分析：
  • 打开Wireshark，点击“File”→“Open”，选择dumpcap捕获的.pcap文件。
  • 可通过顶部过滤栏输入过滤条件，如“http”查看HTTP协议数据包，或“ip.src == 192.168.1.1”查看特定IP地址的数据包。
  • 还可在“Statistics”菜单下查看网络性能统计信息，如吞吐量、丢包率等。
• 用tshark分析：
  • 基本查看：tshark -r capture.pcap，显示数据包详细信息。
  • 过滤查看：tshark -r capture.pcap -Y "http"，只显示HTTP协议数据包。
  • 导出结果：tshark -r capture.pcap -T fields -e frame.number -e ip.src -e ip.dst -E header=y -E separator=, > parsed.csv，将特定字段导出为CSV文件。