dumpcap
是 Wireshark 套件中的一个命令行工具,用于捕获网络流量并保存为抓包文件(通常是 .pcap
或 .pcapng
格式)。以下是使用 dumpcap
保存抓包文件的步骤:
下载并安装 Wireshark:
找到 dumpcap:
dumpcap
通常位于 /usr/sbin/dumpcap
。Wireshark\bin
文件夹中。dumpcap -i <interface> -w <output_file>
<interface>
:要捕获流量的网络接口名称(例如 eth0
、wlan0
或 en0
)。<output_file>
:保存抓包文件的路径和名称(例如 capture.pcap
)。假设你想在 eth0
接口上捕获流量并保存到当前目录下的 capture.pcap
文件中,可以使用以下命令:
sudo dumpcap -i eth0 -w capture.pcap
-c <count>
:指定要捕获的数据包数量,然后自动停止。sudo dumpcap -i eth0 -w capture.pcap -c 100
-C <size>
:指定每个文件的最大大小(以 MB 为单位),超过该大小会自动创建新文件。sudo dumpcap -i eth0 -w capture.pcap -C 100
-G <seconds>
:设置文件轮转的时间间隔(以秒为单位)。sudo dumpcap -i eth0 -w capture.pcap -G 60
-U
:使用非特权模式运行(需要 root 权限)。sudo dumpcap -i eth0 -w capture.pcap -U
sudo
。通过以上步骤,你应该能够成功使用 dumpcap
抓取并保存网络流量数据。