在 Debian 系统下,Dumpcap 是 tcpdump 的二进制包格式,通常用于离线捕获数据包。要定制 Dumpcap 的捕获规则,你需要了解 tcpdump 的基本命令行参数和过滤器语法。以下是一些常用的参数和示例:
-i <interface>:指定要监听的网络接口。-n:不解析主机名,直接显示 IP 地址。-v、-vv、-vvv:增加输出的详细程度。-c <count>:只捕获指定数量的数据包。-w <file>:将捕获的数据包写入到指定的文件中。-r <file>:从文件中读取数据包。Dumpcap 支持基于BPF(Berkeley Packet Filter)的过滤器语法,允许你精确匹配所需的网络流量。例如,以下命令将捕获所有经过 eth0 接口的 HTTP 流量:
dumpcap -i eth0 -n -w output.pcap 'tcp port 80'
dumpcap -i eth0 -n -w traffic.pcap 'tcp port 22'
这条命令会捕获所有通过 eth0 接口的 SSH(端口 22)流量,并将结果保存到 traffic.pcap 文件中。
通过上述方法,你可以根据具体需求定制 Dumpcap 的捕获规则,以便更有效地分析和处理网络流量。