以下是在Ubuntu中高效使用Dumpcap的方法:
安装与权限
安装Wireshark套件(含Dumpcap):
sudo apt update && sudo apt install wireshark
若需非root用户使用,赋予权限:
sudo setcap 'CAP_NET_RAW+ep CAP_NET_ADMIN+ep' /usr/bin/dumpcap
快速捕获
sudo dumpcap -i any -w output.pcapsudo dumpcap -i eth0 -c 100 -w output.pcapsudo dumpcap -i any -l -q过滤优化
sudo dumpcap -i eth0 -f "tcp port 80" -w http.pcapsudo dumpcap -i eth0 -f "not host 192.168.1.1" -w filtered.pcap缓冲与多线程
sudo dumpcap -B 1G -i eth0(单位MB)-T选项,如-T 4使用4线程)文件管理
sudo dumpcap -i eth0 -b files:5 -b filesize:100M -w traffic.pcapsudo dumpcap -i eth0 -w /path/%Y%m%d_%H%M.pcap -G 3600-G指定时间间隔秒数)系统级调优
sudo sysctl -w net.core.rmem_max=26214400 # 增大接收缓冲区
sudo sysctl -w net.core.wmem_max=26214400 # 增大发送缓冲区
sudo ethtool -l eth0(查看队列数),sudo ethtool -L eth0 combined 4(设置4队列)setcap赋权或使用sudo。-C选项限制单个文件大小。通过以上方法,可显著提升Dumpcap在Ubuntu中的捕获效率和稳定性,满足从简单调试到大规模流量监控的需求。