Dumpcap 是 Wireshark 的命令行版本,用于捕获网络数据包
要在 Ubuntu 上使用 dumpcap 进行数据包过滤,请按照以下步骤操作:
安装 dumpcap:
在终端中运行以下命令以安装 dumpcap:
sudo apt-get update
sudo apt-get install dumpcap
提升权限:
由于捕获数据包通常需要管理员权限,因此您需要使用 sudo 运行 dumpcap。例如,要捕获名为 “eth0” 的网络接口上的所有数据包,请运行:
sudo dumpcap -i eth0
使用过滤器:
dumpcap 支持使用 BPF(Berkeley Packet Filter)语法进行数据包过滤。要在捕获数据包时应用过滤器,请使用 -w 选项指定输出文件,并使用 -f 选项指定过滤器表达式。例如,要捕获名为 “eth0” 的网络接口上所有 TCP 数据包,并将它们保存到名为 “output.pcap” 的文件中,请运行:
sudo dumpcap -i eth0 -w output.pcap -f "tcp"
这里有一些常用的 BPF 过滤器表达式:
tcp:捕获 TCP 数据包udp:捕获 UDP 数据包icmp:捕获 ICMP 数据包ip.addr == 192.168.1.1:捕获目标 IP 地址为 192.168.1.1 的数据包ip.src == 192.168.1.1:捕获源 IP 地址为 192.168.1.1 的数据包port 80:捕获目标端口为 80 的数据包portrange 1000-2000:捕获目标端口在 1000 到 2000 之间的数据包您可以根据需要组合多个过滤器表达式。例如,要捕获名为 “eth0” 的网络接口上源 IP 地址为 192.168.1.1 且目标端口为 80 的 TCP 数据包,请运行:
sudo dumpcap -i eth0 -w output.pcap -f "tcp and ip.src == 192.168.1.1 and port 80"
分析捕获的数据包:
使用 Wireshark 或其他支持 pcap 格式的数据包分析工具打开捕获的文件(例如 “output.pcap”),以查看和分析过滤后的数据包。
希望这些信息对您有所帮助!如果您有其他问题,请随时提问。