dumpcap 是Wireshark的命令行工具,用于捕获、存储和分析网络流量。以下是dumpcap的一些基本用法和参数:
dumpcap -i [interface] [options] -w [output file]
-i: 指定要捕获数据包的网络接口。-w: 将捕获的数据包写入到文件中。-s 0: 捕获整个数据包,而不是默认的68字节片段。-c 100: 只捕获100个数据包。-w output.pcap: 将捕获的数据包写入到名为output.pcap的文件中。-f "tcp port 80": 捕获目标端口为80的TCP流量。-i eth0: 指定要监听的网络接口(例如eth0或wlan0)。dumpcap支持使用过滤器来限制捕获到的数据包。过滤器语法类似于Wireshark的过滤器语法。
捕获所有数据包
dumpcap -i eth0 -w output.pcap
捕获特定端口的流量
dumpcap -i eth0 -w output.pcap -f "tcp port 80"
捕获特定协议的数据包
dumpcap -i eth0 -w output.pcap -f "tcp src port 80 or tcp dst port 443"
捕获完整数据包
dumpcap -i eth0 -s 0 -w output.pcap
限制捕获的数据包数量
dumpcap -i eth0 -c 100 -w output.pcap
通过以上参数和示例,你可以根据具体需求配置dumpcap进行数据包捕获。