在使用 dumpcap 时,可以通过 -f 或 --filter 选项来设置过滤器。这个过滤器是基于 BPF(Berkeley Packet Filter)语法的,可以用来指定只捕获符合特定条件的数据包。
以下是使用 dumpcap 设置过滤器的一些基本步骤:
打开终端或命令提示符:根据你的操作系统,打开相应的终端或命令提示符。
运行 dumpcap 命令:基本的命令格式如下:
dumpcap -i <interface> -w <output_file> -f "<filter>"
其中:
<interface> 是你想要捕获数据包的网络接口,例如 eth0 或 Wi-Fi。<output_file> 是捕获数据包后保存的文件名,通常以 .pcap 扩展名结尾。<filter> 是你设置的过滤器表达式。设置过滤器:例如,如果你只想捕获 HTTP 流量的数据包,可以使用如下命令:
dumpcap -i eth0 -w http_traffic.pcap -f "port 80 or port 443"
这个命令会捕获所有目标端口或源端口为 80(HTTP)和 443(HTTPS)的数据包。
保存并分析数据包:使用 Wireshark 或其他支持 .pcap 格式的工具打开生成的文件,进行进一步分析。
host 192.168.1.5:捕获与 IP 地址 192.168.1.5 相关的所有数据包。tcp port 80:捕获所有 TCP 协议且目标端口为 80 的数据包。udp:捕获所有 UDP 数据包。icmp:捕获所有 ICMP 数据包。not host 192.168.1.5:捕获除了 IP 地址 192.168.1.5 之外的所有数据包。通过组合这些条件,你可以创建更复杂的过滤器以满足特定的捕获需求。