dumpcap 是 Wireshark 套件中的一个命令行工具,用于捕获网络数据包。它通常用于在命令行界面下进行数据包捕获和分析。以下是如何使用 dumpcap 的基本指南:
在大多数 Linux 发行版中,你可以使用包管理器来安装 dumpcap。
Debian/Ubuntu:
sudo apt-get update
sudo apt-get install dumpcap
Fedora:
sudo dnf install dumpcap
CentOS/RHEL:
sudo yum install dumpcap
Arch Linux:
sudo pacman -S wireshark
安装后,dumpcap 通常需要 root 权限才能正常工作。
以下是一些基本的 dumpcap 命令示例:
捕获数据包:
捕获所有接口上的数据包,并保存到文件 capture.pcap 中:
sudo dumpcap -w capture.pcap
捕获指定接口(例如 eth0)上的数据包:
sudo dumpcap -i eth0 -w capture.pcap
限制捕获的数据包数量:
捕获最多 100 个数据包:
sudo dumpcap -c 100 -w capture.pcap
设置捕获的数据包大小限制:
捕获最大为 65535 字节的数据包:
sudo dumpcap -s 65535 -w capture.pcap
捕获特定类型的数据包:
使用过滤器只捕获 TCP 数据包:
sudo dumpcap -i eth0 -w capture.pcap 'tcp'
实时查看捕获的数据包:
在捕获的同时实时显示数据包信息:
sudo dumpcap -i eth0 -l
dumpcap 需要 root 权限来捕获网络数据包。通过这些基本示例,你应该能够开始使用 dumpcap 进行网络数据包捕获了。根据需要,你可以查阅 dumpcap 的手册页(通过运行 man dumpcap)以获取更多详细信息和选项。