问答

debian

Dumpcap在Debian支持哪些过滤器

小樊

43

2025-11-16 10:05:56

栏目：智能运维

Dumpcap 在 Debian 的过滤器支持概览

在 Debian 上，dumpcap 使用 libpcap 的 BPF（Berkeley Packet Filter）语法，通过 -f/–filter 指定捕获过滤表达式。常用类别包括：
- IP 地址：host、src host、dst host
- 端口：port、src port、dst port、tcp port、udp port
- 协议：ip、ip6、tcp、udp、icmp 等
- 以太网层：ether host、ether src、ether dst
- 逻辑与/或/非：and、or、not，支持括号分组
  这些表达式与 Wireshark/Tcpdump 的捕获过滤语法一致，可直接在 dumpcap 中使用。

常用过滤器与示例

目的	过滤器表达式	说明
捕获某主机流量	host 192.168.1.10	双向匹配该 IP
仅源或目的	src host 192.168.1.10 / dst host 192.168.1.10	单向匹配
某端口或全部	port 80 / tcp port 80 / udp port 53	协议可选
源/目的端口	src port 5000 / dst port 443	精确端口方向
协议限定	tcp、udp、icmp、ip、ip6	协议类过滤
组合条件	src host 1.1.1.1 and dst port 80 and tcp	多条件并用
排除主机	not host 192.168.1.10	反向匹配
MAC 地址	ether host 00:11:22:33:44:55	二层过滤
DNS 流量	udp port 53 or tcp port 53	同时覆盖 UDP/TCP
HTTP/HTTPS	tcp port 80 or tcp port 443	明文与 TLS 端口
写入文件	-w file.pcap -f “tcp port 80”	将过滤结果落盘
以上示例均为 dumpcap 可直接使用的 BPF 捕获过滤语法。

使用要点

指定接口与过滤：使用 -i <接口>（如 eth0、any）与 -f “<表达式>”；例如：sudo dumpcap -i any -w http.pcap -f “tcp port 80”。
权限配置：将用户加入 wireshark 组或以 sudo 运行，以获得抓包权限。
表达式风格：捕获过滤使用 BPF 语法（如 host、port、and/or/not）；显示过滤（Wireshark 图形界面）语法不同，勿混用。
快速验证：可用 -w - 将捕获内容输出到控制台，便于测试过滤表达式是否生效。

0 赞

0 踩

看了该问题的人还看了

行业资讯-文章归档问答-问答归档