在Linux下,使用dumpcap进行数据包筛选时,可以使用-w选项将捕获的数据包写入文件,然后使用Wireshark或其他支持pcap格式的工具进行筛选。如果你想在捕获过程中直接筛选数据包,可以使用-Y选项指定一个BPF(Berkeley Packet Filter)表达式。
以下是一些使用dumpcap进行数据包筛选的示例:
sudo dumpcap -i eth0
sudo dumpcap -i eth0 -Y "ip.src == 192.168.1.1"
sudo dumpcap -i eth0 -Y "ip.dst == 192.168.1.1"
sudo dumpcap -i eth0 -Y "tcp.port == 80"
sudo dumpcap -i eth0 -Y "tcp.port == 80"
sudo dumpcap -i eth0 -Y "ip.src == 192.168.1.1 && ip.dst == 192.168.1.2"
注意:在使用dumpcap时,可能需要root权限才能捕获数据包。因此,在命令前加上sudo以获取管理员权限。
如果你想将筛选后的数据包保存到文件中,可以使用-w选项指定输出文件名:
sudo dumpcap -i eth0 -Y "ip.src == 192.168.1.1" -w output.pcap
然后,你可以使用Wireshark或其他支持pcap格式的工具打开output.pcap文件,进行进一步的分析和筛选。