dumpcap 是 Wireshark 中的一个命令行工具,用于捕获网络数据包
打开终端。
找到 dumpcap 的配置文件。通常情况下,它位于 /etc/dumpcap 或 /usr/local/etc/dumpcap。如果你找不到它,可以使用 find 命令搜索:
sudo find / -name dumpcap 2>/dev/null
vi 编辑器:sudo vi /path/to/dumpcap
-c: 设置捕获的数据包数量。例如,-c 1000 表示捕获 1000 个数据包后停止。-f: 设置过滤器表达式,以便只捕获符合指定条件的数据包。例如,-f "tcp port 80" 表示仅捕获 TCP 端口 80 的数据包。-i: 设置网络接口。例如,-i eth0 表示从 eth0 网络接口捕获数据包。-w: 设置输出文件。例如,-w output.pcap 表示将捕获的数据包保存到 output.pcap 文件中。-q: 设置捕获时的日志级别。例如,-q 1 表示仅显示错误消息。-s: 设置每个数据包的捕获长度。例如,-s 65535 表示捕获整个数据包(最大长度为 65535 字节)。保存并关闭配置文件。
要使用刚刚设置的配置文件运行 dumpcap,请在终端中输入以下命令:
sudo dumpcap -c 1000 -f "tcp port 80" -i eth0 -w output.pcap -q 1 -s 65535
这将按照你的配置捕获 1000 个 TCP 端口 80 的数据包,并将它们保存到 output.pcap 文件中。