在Linux下使用dumpcap进行数据包捕获时,可以使用-w选项将捕获的数据包写入文件,然后使用tshark工具进行过滤。以下是具体步骤:
sudo dumpcap -i <interface> -w <output_file>
其中,<interface>是要捕获数据包的网络接口,例如eth0;<output_file>是保存数据包的文件名,例如capture.pcap。
tshark -r <input_file> -Y "<filter>"
其中,<input_file>是要读取的数据包文件,例如capture.pcap;<filter>是过滤条件,例如ip.addr == 192.168.1.1表示只显示源IP地址为192.168.1.1的数据包。
以下是一些常用的过滤条件:
ip.addr == 192.168.1.1:显示源IP地址或目标IP地址为192.168.1.1的数据包。tcp.port == 80:显示目标端口为80的TCP数据包。udp.port == 53:显示目标端口为53的UDP数据包。http.request:显示HTTP请求数据包。http.response:显示HTTP响应数据包。注意:在使用tshark进行过滤时,需要先安装Wireshark软件包,因为tshark是Wireshark的一部分。可以使用以下命令安装Wireshark:
sudo apt-get install wireshark
或者
sudo yum install wireshark
根据你的Linux发行版选择相应的安装命令。