dumpcap 是 Wireshark 套件中的一个命令行工具,用于捕获网络数据包。在 Ubuntu 中,你可以使用 dumpcap 来实时捕获网络流量。以下是如何在 Ubuntu 中安装和使用 dumpcap 进行实时捕获的步骤:
安装 Wireshark 和 dumpcap: 打开终端并运行以下命令来安装 Wireshark 和 dumpcap:
sudo apt update
sudo apt install wireshark wireshark-common wireshark-cli
安装过程中,可能会提示你接受 Wireshark 的许可协议,并询问你是否要将 dumpcap 设置为默认的数据包捕获程序。你可以选择“是”以便于使用。
运行 dumpcap:
安装完成后,你可以直接通过命令行运行 dumpcap 来开始捕获数据包。例如,要捕获所有接口上的流量,可以使用以下命令:
sudo dumpcap -i any
这里的 -i any 参数表示捕获所有网络接口上的数据包。如果你只想捕获特定接口上的流量,可以将 any 替换为接口名称,例如 eth0 或 wlan0。
实时查看捕获的数据包:
默认情况下,dumpcap 会开始捕获数据包并将其保存到文件中,而不是实时显示。如果你想实时查看捕获的数据包,可以使用 -l 参数来启用实时模式,并结合 -q 参数来减少输出的信息量:
sudo dumpcap -i any -l -q
这样,你就可以在终端中实时看到捕获的数据包了。
停止捕获:
要停止捕获,你可以使用 Ctrl+C 组合键来中断 dumpcap 的运行。
保存捕获的数据包:
如果你想将捕获的数据包保存到文件中以便后续分析,可以使用 -w 参数指定文件名:
sudo dumpcap -i any -w output.pcap
这会将捕获的所有数据包保存到名为 output.pcap 的文件中。
请注意,捕获网络数据包可能需要管理员权限,因此在使用 dumpcap 时通常需要使用 sudo 命令。此外,根据你的网络环境和捕获的数据包大小,实时捕获可能会产生大量的数据,因此请确保你有足够的存储空间来保存捕获的文件。