dumpcap 本身不直接提供复杂流量统计功能,需结合其他工具(如 tshark、Wireshark)实现,以下是主要方法:
捕获流量
sudo dumpcap -i <接口> -w output.pcap # 捕获指定接口流量并保存为文件
(例:sudo dumpcap -i any -w all_traffic.pcap 捕获所有接口流量)
使用 tshark 统计
tshark -r output.pcap -qz io,stat # 显示总字节数、包数等
tshark -r output.pcap -T fields -e proto | sort | uniq -c | sort -nr # 按协议分类统计包数
tshark -r output.pcap -T fields -e ip.src -e frame.len | awk '{sum[$1]+=$2} END {for (a in sum) print a, sum[a]}' | sort -nr # 按源IP统计流量
实时流量监控
sudo dumpcap -i any -w - | tshark -r - -qz io,stat,1 # 每秒刷新统计(需配合管道)
图形界面分析(可选)
用 Wireshark 打开 .pcap 文件,通过 Statistics 菜单查看协议分布、端点流量等可视化数据。
注意:需先安装 dumpcap(通常随 Wireshark 安装),部分命令需 sudo 权限,且需遵守网络监控相关法规。