在Linux中,dumpcap 是一个非常强大的命令行工具,用于捕获网络数据包。如果你想要筛选数据包,可以使用 -w 选项将捕获的数据包写入文件,然后使用 wireshark 或 tshark 等工具进行筛选和分析。
以下是一些使用 dumpcap 筛选数据包的方法:
-i 选项指定要捕获的网络接口。例如,要捕获名为 eth0 的接口上的数据包,请运行以下命令:sudo dumpcap -i eth0
-w 选项将捕获的数据包写入文件。例如,要将捕获的数据包保存到名为 output.pcap 的文件中,请运行以下命令:sudo dumpcap -i eth0 -w output.pcap
-c 选项指定要捕获的数据包数量。例如,要捕获前100个数据包,请运行以下命令:sudo dumpcap -i eth0 -w output.pcap -c 100
-C 选项指定每个文件的最大大小。例如,要将每个文件的大小限制为10MB,请运行以下命令:sudo dumpcap -i eth0 -w output.pcap -C 10
-G 选项设置捕获时间间隔。例如,要每10秒创建一个新文件,请运行以下命令:sudo dumpcap -i eth0 -w output_%Y-%m-%d_%H-%M-%S.pcap -G 10
tshark 工具对捕获的数据包进行筛选。例如,要从名为 output.pcap 的文件中筛选出与TCP端口80相关的数据包,请运行以下命令:tshark -r output.pcap -Y "tcp.port == 80"
这里,-r 选项表示读取文件,-Y 选项表示显示过滤器表达式。
你可以根据需要组合这些选项来筛选和分析数据包。更多关于 dumpcap 和 tshark 的信息,请参阅官方文档: