ubuntu dumpcap数据包如何分析 - 问答

在Ubuntu上分析dumpcap捕获的数据包，可按以下步骤操作：

安装工具：
```
sudo apt update && sudo apt install wireshark  
```
（Dumpcap是Wireshark套件的一部分，安装Wireshark即可获取）
捕获数据包：
```
sudo dumpcap -i <接口名> -w <输出文件.pcap>  
```
（如sudo dumpcap -i eth0 -w capture.pcap，-i指定接口，-w保存文件）
- 可添加BPF过滤器（如-f "tcp port 80"）实时过滤特定流量。
图形界面分析（推荐）：
- 用Wireshark打开.pcap文件：
```
wireshark <文件名.pcap>  
```
- 通过顶部过滤器栏输入表达式（如http.request、ip.addr == 192.168.1.1）筛选数据包。
- 查看协议详情、源/目标IP、端口、载荷等信息，支持统计、可视化分析。
命令行分析（可选）：
- 用tshark（Wireshark命令行版）过滤或导出数据：
```
tshark -r <文件名.pcap> -Y "过滤表达式" -T fields -e 字段名  
```
  （如tshark -r capture.pcap -Y "tcp.port == 443" -T fields -e ip.src -e http.host）。

注意：

0 赞

0 踩