使用dumpcap实时监控网络流量,可通过以下命令操作:
基础实时监控:添加-l参数启用行缓冲,每捕获一个数据包立即显示在终端。
sudo dumpcap -i <接口名> -l # 实时显示数据包,不保存文件
(<接口名>可通过dumpcap -D或ip a查看,如eth0、wlan0)
实时保存至文件:结合-l和-w参数,将数据包实时写入.pcap文件,便于后续分析。
sudo dumpcap -i <接口名> -l -w output.pcap # 实时捕获并保存
限制捕获数量:添加-c参数指定捕获数据包数量,达到后自动停止。
sudo dumpcap -i <接口名> -l -w output.pcap -c 100 # 捕获100个数据包后停止
过滤特定流量:使用-Y参数指定显示过滤器(如HTTP、特定端口)。
sudo dumpcap -i <接口名> -l -w output.pcap -Y "tcp.port == 80" # 仅捕获HTTP流量
停止监控:按Ctrl+C终止命令。
分析数据:用Wireshark打开.pcap文件查看详情。
注:部分系统需用sudo获取权限,或提前将用户加入wireshark组。