dumpcap 是 Wireshark 套件中的一个命令行工具,用于捕获网络流量。要使用 dumpcap 进行实时监控,请按照以下步骤操作:
打开命令提示符(Windows)或终端(Linux/macOS)。
输入以下命令以启动 dumpcap:
dumpcap
为了捕获实时流量,您需要指定一个网络接口。例如,如果您要捕获名为 “eth0” 的接口上的流量,请输入以下命令:
dumpcap -i eth0
默认情况下,dumpcap 会捕获所有接口上的所有流量。如果您只想捕获特定类型的流量,可以使用 -f 选项指定过滤器表达式。例如,要仅捕获 TCP 流量,请输入以下命令:
dumpcap -i eth0 -f "tcp"
要将捕获的数据保存到文件中,可以使用 -w 选项指定输出文件名。例如,要将捕获的数据保存到名为 “output.pcap” 的文件中,请输入以下命令:
dumpcap -i eth0 -w output.pcap
若要实时查看捕获的数据包,可以使用 -l 选项启用行缓冲。这样,每当捕获到一个数据包时,dumpcap 都会在终端上显示相关信息。例如:
dumpcap -i eth0 -l
若要设置捕获数据包的最大数量,可以使用 -c 选项指定一个数字。当达到此数量时,dumpcap 将停止捕获并退出。例如,要捕获最多 100 个数据包,请输入以下命令:
dumpcap -i eth0 -c 100
若要设置捕获数据包的最大文件大小(以 MB 为单位),可以使用 -C 选项指定一个数字。当达到此大小时,dumpcap 将创建一个新的输出文件并继续捕获。例如,要将每个输出文件的大小限制为 100 MB,请输入以下命令:
dumpcap -i eth0 -C 100
通过组合这些选项,您可以根据需要使用 dumpcap 进行实时监控。在完成捕获后,您可以使用 Wireshark 或其他支持 pcap 格式的工具分析捕获的数据包。