dumpcap 是 Wireshark 套件中的一个命令行工具,用于捕获网络数据包。默认情况下,dumpcap 会捕获数据包并将其保存到文件中,而不是实时显示它们。但是,你可以使用 -l 选项来启用“行缓冲”,这样 dumpcap 就会在捕获每个数据包后刷新输出,从而可以实时查看数据包。
要使用 dumpcap 实时查看数据包,请打开命令行界面(例如终端或命令提示符),然后输入以下命令:
dumpcap -i <interface> -l
其中 <interface> 是你想捕获数据包的网络接口名称。例如,如果你想监听名为 eth0 的接口,你可以输入:
dumpcap -i eth0 -l
请注意,你可能需要管理员权限才能捕获网络数据包。在某些操作系统上,你可能需要在命令前加上 sudo(在 Linux 或 macOS 上)或以管理员身份运行命令提示符(在 Windows 上)。
如果你想实时查看捕获的数据包的详细信息,你可以将输出重定向到一个文本文件或使用管道将其传递给其他工具,例如 tshark(Wireshark 的另一个命令行工具),它可以实时分析和显示数据包的内容。
例如,要将实时捕获的数据包保存到文本文件中,你可以使用以下命令:
dumpcap -i eth0 -l -w output.txt
这将把捕获的数据包写入名为 output.txt 的文件中。如果你想使用 tshark 实时分析数据包,可以使用以下命令:
dumpcap -i eth0 -l | tshark -r -
这将把 dumpcap 捕获的数据包通过管道传递给 tshark,后者会实时显示数据包的详细信息。