在 Debian 系统中,dumpcap 是 Wireshark 套件的一部分,用于捕获网络流量。要设置 dumpcap 的过滤器,可以使用 -F 或 --filter 选项来指定一个 Berkeley Packet Filter (BPF) 表达式。这个表达式定义了哪些数据包应该被捕获。
以下是如何设置 dumpcap 过滤器的步骤:
打开终端。
输入 dumpcap 命令,并使用 -F 或 --filter 选项后跟你的 BPF 表达式。例如,如果你只想捕获 HTTP 流量,你可以使用如下命令:
sudo dumpcap -i eth0 -w capture.pcap -F "port 80"
在这个例子中,-i eth0 指定了要监听的网络接口(在这个例子中是 eth0),-w capture.pcap 指定了输出文件的名称,而 -F "port 80" 是过滤器表达式,它指定了只捕获目标端口或源端口为 80 的数据包。
按下回车键执行命令。dumpcap 将开始捕获符合过滤器条件的数据包,并将它们保存到指定的文件中。
如果你想要在捕获过程中动态地更改过滤器,你可以在 dumpcap 运行时使用 Ctrl+C 来停止捕获,然后重新启动 dumpcap 并应用新的过滤器。
请注意,为了捕获网络流量,你可能需要 root 权限或者使用 sudo 来运行 dumpcap。
此外,BPF 表达式可以非常复杂,允许你根据源地址、目的地址、端口号、协议类型等多种条件来过滤数据包。如果你不熟悉 BPF 表达式,可以查阅相关文档或在线资源来学习如何构建适合你需求的过滤器。