使用Dumpcap过滤数据包的步骤如下:
下载Dumpcap:
安装Wireshark:
打开命令行工具:
运行Dumpcap命令:
dumpcap [选项]
dumpcap -i any -w output.pcap
-i any
表示捕获所有网络接口的数据包。-w output.pcap
指定输出文件的名称和路径。基本过滤语法:
[tcp port 80]
。and
, or
, not
组合多个条件。实时过滤:
-f
选项。dumpcap -i any -w output.pcap -f "tcp port 80"
保存过滤后的数据包:
dumpcap -i any -w output.pcap -f "ip.src == 192.168.1.1"
使用显示过滤器:
ip.addr == 192.168.1.1
。假设你想捕获并保存所有HTTP请求(端口80)的数据包:
dumpcap -i any -w http_requests.pcap -f "tcp port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420"
这里的过滤器表达式 tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420
用于匹配HTTP GET请求的起始字符串 "GET "。
通过以上步骤,你可以有效地使用Dumpcap捕获和过滤网络数据包。