Tshark
Tshark是Wireshark的命令行版本,与dumpcap同为Wireshark生态的一部分,专注于命令行环境下的数据包捕获与分析。它继承了Wireshark强大的协议解析能力,支持过滤、保存为PCAP文件及实时分析,适合习惯命令行操作或需要集成到脚本中的用户。安装方式为sudo apt update && sudo apt install tshark(Debian/Ubuntu系统)。
tcpdump
tcpdump是Linux系统中最经典的开源命令行抓包工具,以轻量级、高性能著称。它支持通过BPF(Berkeley Packet Filter)引擎进行精准过滤(如按协议、IP、端口筛选),可将捕获的数据包保存为PCAP文件供后续分析,是dumpcap在简单抓包场景下的常用替代。安装命令为sudo apt install tcpdump。
Zeek(前身为Bro)
Zeek是一款功能强大的开源网络安全监控框架,超越了传统IDS的范畴,提供对网络运行的实时洞察。它不仅能捕获数据包,还能生成详细的网络日志(如连接、DNS查询、HTTP请求),适合需要深度安全分析和威胁检测的场景。安装需添加官方仓库并执行sudo apt install zeek-lts。
ngrep
ngrep是一款结合了grep功能的轻量级网络嗅探工具,专注于实时匹配数据包中的文本内容(如HTTP请求中的“GET”、邮件中的“Subject”)。它支持正则表达式,适合快速定位特定数据,是dumpcap在需要文本过滤场景下的便捷替代。安装命令为sudo apt install ngrep。
nethogs
nethogs是一款按进程显示网络带宽使用情况的工具,可实时监控每个进程的网络流量(上传/下载),支持IPv4和IPv6。它适合需要快速识别占用带宽的进程(如下载软件、视频流)的场景,是dumpcap在带宽监控场景下的替代选择。
iftop
iftop是一款实时网络带宽监控工具,以终端界面显示当前网络连接的带宽使用情况(按主机、端口、协议分类)。它支持过滤(如只显示特定IP或端口的流量),适合需要快速查看网络带宽占用情况的场景。安装命令为sudo apt install iftop。