Dumpcap在Debian中的数据包分析技巧

以下是Dumpcap在Debian中的数据包分析技巧：

捕获数据包

• 基本捕获：安装后，用sudo dumpcap -i any -w output.pcap捕获所有接口数据包并保存。
• 按接口捕获：指定接口，如sudo dumpcap -i eth0 -w eth0_capture.pcap。
• 按协议过滤：用-f选项，如sudo dumpcap -i any -f "tcp port 80" -w http.pcap。
• 按IP过滤：sudo dumpcap -i any -f "host 192.168.1.1" -w ip.pcap。

分析数据包

• 使用Wireshark：用wireshark -r output.pcap打开文件分析，可查看协议层次、统计信息等。
• 使用Tshark：如sudo tshark -r output.pcap -Y "http" -T fields -e ip.src -e ip.dst提取特定信息。