dumpcap怎样查看捕获结果

要查看使用 dumpcap 捕获的网络数据包结果，您可以按照以下步骤操作：

1. 捕获数据包并保存到文件

首先，使用 dumpcap 命令捕获数据包并保存到文件中。例如，要捕获名为 eth0 的网络接口上的所有数据包，并将结果保存到 output.pcap 文件中，可以使用以下命令：

dumpcap -i eth0 -w output.pcap

2. 使用 Wireshark 或 tshark 分析捕获文件

• 使用 Wireshark：

  1. 打开 Wireshark 软件。
  2. 点击菜单栏上的 “File” > “Open”，选择由 dumpcap 生成的 .pcap 文件进行打开。
  3. Wireshark 将自动解析数据包并显示详细的信息，如源/目标 IP 地址、端口号、协议类型等。
  4. 使用 Wireshark 的过滤功能来缩小显示的数据包范围。在顶部的过滤器栏中，输入一个过滤器表达式，然后按 Enter 键。
  5. 分析数据包内容，查看每个数据包的详细信息，包括源/目标 IP 地址、端口号、协议类型、数据包大小等。
  6. 使用 Wireshark 的统计功能来查看捕获到的数据包的数量、协议分布等信息。

• 使用 tshark 命令行工具：

  1. 打开终端。

  2. 使用以下命令读取并显示捕获文件中的数据包：

     tshark -r output.pcap
     

  3. 要查看特定字段，可以使用 -T fields 选项和 -e 选项指定字段名称。例如，要查看每个数据包的时间戳、源 IP 和目的 IP，可以使用以下命令：

     tshark -r output.pcap -T fields -e frame.time -e ip.src -e ip.dst
     

3. 实时显示捕获的数据包（可选）

如果您不想立即保存到文件，可以先实时查看捕获的数据包。例如：

dumpcap -i eth0 -w - | tshark -r -

这将把捕获到的数据包通过管道传输给 tshark 进行实时显示。

通过以上步骤，您可以使用 dumpcap 捕获网络数据包，并使用 Wireshark 或 tshark 进行详细的分析和查看。