在Linux中,dumpcap 是一个命令行工具,用于捕获网络数据包。如果你想筛选捕获的数据包,可以使用 -w 选项将数据包写入文件,然后使用 tshark 或 Wireshark 工具来筛选和分析这些数据包。
以下是使用 dumpcap 和 tshark 筛选数据包的基本步骤:
dumpcap 捕获数据包并将其写入文件:sudo dumpcap -i <interface> -w <output_file>
其中 <interface> 是要捕获数据包的网络接口(例如 eth0 或 wlan0),<output_file> 是要将数据包写入的文件名(例如 capture.pcap)。
tshark 筛选数据包:tshark -r <input_file> -Y "<filter>"
其中 <input_file> 是要读取的数据包文件(例如 capture.pcap),<filter> 是筛选条件(例如 tcp.port == 80)。
例如,如果你想筛选捕获的数据包中所有目标端口为80的TCP数据包,可以使用以下命令:
tshark -r capture.pcap -Y "tcp.port == 80"
你还可以使用更复杂的筛选条件,例如筛选源IP地址、目标IP地址、协议类型等。有关筛选条件的详细信息,请参阅 Wireshark文档。
注意:在使用 dumpcap 和 tshark 时,可能需要管理员权限。因此,在运行这些命令时,请在命令前加上 sudo。