以下是在Ubuntu中高效使用Dumpcap的方法:
安装与权限
安装Wireshark套件(含Dumpcap):
sudo apt update && sudo apt install wireshark
若需非root用户使用,赋予权限:
sudo setcap 'CAP_NET_RAW+ep CAP_NET_ADMIN+ep' /usr/bin/dumpcap
快速捕获
sudo dumpcap -i any -w output.pcap
sudo dumpcap -i eth0 -c 100 -w output.pcap
sudo dumpcap -i any -l -q
过滤优化
sudo dumpcap -i eth0 -f "tcp port 80" -w http.pcap
sudo dumpcap -i eth0 -f "not host 192.168.1.1" -w filtered.pcap
缓冲与多线程
sudo dumpcap -B 1G -i eth0
(单位MB)-T
选项,如-T 4
使用4线程)文件管理
sudo dumpcap -i eth0 -b files:5 -b filesize:100M -w traffic.pcap
sudo dumpcap -i eth0 -w /path/%Y%m%d_%H%M.pcap -G 3600
-G
指定时间间隔秒数)系统级调优
sudo sysctl -w net.core.rmem_max=26214400 # 增大接收缓冲区
sudo sysctl -w net.core.wmem_max=26214400 # 增大发送缓冲区
sudo ethtool -l eth0
(查看队列数),sudo ethtool -L eth0 combined 4
(设置4队列)setcap
赋权或使用sudo
。-C
选项限制单个文件大小。通过以上方法,可显著提升Dumpcap在Ubuntu中的捕获效率和稳定性,满足从简单调试到大规模流量监控的需求。