dumpcap 是一个在 Linux 系统中用于捕获网络数据包的命令行工具,它是 Wireshark 套件的一部分。以下是一些 dumpcap 命令的基本示例:
基本数据包捕获:
dumpcap -i eth0
这个命令会捕获连接到 eth0 网络接口上的所有数据包。
将捕获的数据包保存到文件:
dumpcap -i eth0 -w output.pcap
这个命令会将捕获的数据包保存到名为 output.pcap 的文件中。
限制捕获的数据包数量:
dumpcap -i eth0 -c 100
这个命令会捕获最多 100 个数据包然后停止。
设置捕获数据包的大小限制:
dumpcap -i eth0 -s 65535
这个命令会设置捕获数据包的最大大小为 65535 字节。
捕获特定类型的数据包:
dumpcap -i eth0 'tcp port 80'
这个命令会捕获所有通过 TCP 协议、目标端口为 80 的数据包。
使用过滤器表达式:
dumpcap -i eth0 -w output.pcap 'udp and host 192.168.1.100'
这个命令会捕获所有发往或来自 IP 地址为 192.168.1.100 的 UDP 数据包,并将它们保存到 output.pcap 文件中。
实时显示捕获的数据包:
dumpcap -i eth0 -l
这个命令会实时显示捕获的数据包,而不保存到文件中。
指定捕获接口的 promiscuous mode(混杂模式):
dumpcap -i eth0 -P
这个命令会启用混杂模式,允许 dumpcap 捕获所有经过网络接口的数据包,而不仅仅是发给它的数据包。
在使用 dumpcap 时,可能需要 root 权限来捕获数据包。如果你遇到权限问题,可以在命令前加上 sudo:
sudo dumpcap -i eth0 -w output.pcap
请注意,根据你的系统配置和 Wireshark 版本,可用的选项和参数可能会有所不同。始终建议查阅你所使用的 dumpcap 版本的官方文档来获取最准确的信息。