在使用 dumpcap 在 Ubuntu 中捕获网络数据包时,你可以通过指定输出文件来保存捕获的数据。以下是一些常用的方法:
使用 -w 选项指定输出文件:
这是最简单的方法,你可以直接在命令行中使用 -w 选项来指定输出的文件名。例如:
sudo dumpcap -i eth0 -w output.pcap
这个命令会将捕获的数据包保存到当前目录下的 output.pcap 文件中。
使用 -W 选项自动分割文件:
如果你希望捕获的数据包数量或大小达到一定阈值时自动分割文件,可以使用 -W 选项。例如:
sudo dumpcap -i eth0 -w output_%d.pcap -C 1000 -G 60
这个命令会在每个文件中保存最多 1000 个数据包,或者每 60 秒创建一个新的文件。
将数据包实时写入到多个文件:
如果你希望同时将捕获的数据包写入多个文件,可以使用 -w 选项多次指定不同的文件名,或者使用 -W 选项配合 -C 和 -G 来实现更复杂的文件命名规则。
将数据包保存到标准输出:
如果你想将捕获的数据包实时显示在终端上,可以不使用 -w 选项:
sudo dumpcap -i eth0
这样,捕获的数据包会实时显示在终端上。
请确保你有足够的权限来捕获网络数据包,通常需要使用 sudo 权限来运行 dumpcap。