dumpcap 是 Wireshark 套件中的一个命令行工具,用于捕获网络流量。设置过滤器可以帮助你只捕获感兴趣的数据包,从而节省存储空间和提高分析效率。以下是如何在 dumpcap 中设置过滤器的步骤:
-f 选项设置过滤器基本过滤器语法:
src host <IP>:捕获源地址为指定 IP 的数据包。dst host <IP>:捕获目的地址为指定 IP 的数据包。src port <port>:捕获源端口为指定端口的数据包。dst port <port>:捕获目的端口为指定端口的数据包。tcp:捕获 TCP 协议的数据包。udp:捕获 UDP 协议的数据包。icmp:捕获 ICMP 协议的数据包。and、or、not:用于组合多个条件。示例:
192.168.1.1 的所有数据包:dumpcap -i eth0 -w capture.pcap -f "src host 192.168.1.1"
80 的 TCP 数据包:dumpcap -i eth0 -w capture.pcap -f "tcp dst port 80"
192.168.1.1 且目的端口为 80 的数据包:dumpcap -i eth0 -w capture.pcap -f "src host 192.168.1.1 and tcp dst port 80"
-F 选项设置过滤器如果你有一个复杂的过滤器表达式,可以使用 -F 选项将其写入一个文件,然后在 dumpcap 命令中引用该文件。
创建过滤器文件:
创建一个文本文件,例如 filter.txt,并在其中写入过滤器表达式:
src host 192.168.1.1 and tcp dst port 80
使用过滤器文件:
dumpcap -i eth0 -w capture.pcap -F filter.txt
-i <interface>:指定要捕获流量的网络接口。-w <filename>:指定输出文件的名称。-C <size>:设置每个文件的最大大小(以 MB 为单位)。-W <files>:设置最大文件数。通过以上步骤,你可以有效地使用 dumpcap 设置过滤器来捕获特定的网络流量。