dumpcap如何分析数据包

dumpcap主要用于捕获数据包，分析功能有限，可结合Wireshark等工具实现分析，具体如下：

1. 捕获数据包：使用dumpcap -i <接口> -w <文件名>命令保存为.pcap文件，支持通过BPF语法过滤（如-f "tcp port 80"）。
2. 图形化分析（推荐）：用Wireshark打开.pcap文件，通过过滤器（如ip.addr == 192.168.1.1）、统计功能（吞吐量、延迟等）和协议层次视图分析流量。
3. 命令行分析：用tshark（Wireshark命令行版）读取.pcap文件，支持显示特定字段（如-T fields -e ip.src）或过滤（-Y "http.request"）。

注意：dumpcap本身仅提供基础捕获和简单过滤，复杂分析需依赖Wireshark或tshark。