dumpcap
是 Wireshark 套件中的一个命令行工具,用于捕获网络数据包。以下是如何在 Ubuntu 上使用 dumpcap
的基本指南:
在 Ubuntu 上安装 dumpcap
,你可以使用以下命令:
sudo apt update
sudo apt install wireshark
wireshark
包含了 dumpcap
工具。
捕获数据包
你可以使用 -i
选项指定要监听的网络接口。例如,要捕获所有通过 eth0
接口的数据包,可以使用:
sudo dumpcap -i eth0
如果你想捕获特定数量的数据包,可以使用 -c
选项。例如,捕获前 100 个数据包:
sudo dumpcap -i eth0 -c 100
将捕获的数据包保存到文件
使用 -w
选项可以将捕获的数据包保存到文件中。例如:
sudo dumpcap -i eth0 -w output.pcap
这会将捕获的数据包保存到当前目录下的 output.pcap
文件中。
设置捕获过滤器
你可以使用 -f
选项指定一个捕获过滤器,以只捕获符合特定条件的数据包。例如,只捕获 HTTP 流量:
sudo dumpcap -i eth0 -w output.pcap -f "port 80"
读取和显示捕获的数据包
虽然 dumpcap
主要用于捕获数据包,但你也可以使用 Wireshark 图形界面工具打开 .pcap
文件并查看捕获的数据包。如果你想直接在命令行中查看捕获的数据包,可以使用 tshark
工具(Wireshark 的命令行版本):
tshark -r output.pcap
dumpcap
需要 root 权限才能正常工作,因为它需要访问网络接口。通过这些基本步骤,你应该能够在 Ubuntu 上使用 dumpcap
捕获和分析网络数据包了。