Debian Dumpcap捕获数据包技巧

以下是Debian下Dumpcap捕获数据包的核心技巧：

1. 安装与权限

   • 用sudo apt install dumpcap安装。
   • 普通用户需用sudo setcap 'CAP_NET_RAW+eip CAP_NET_ADMIN+eip' /usr/bin/dumpcap赋予权限。

2. 基础捕获

   • 捕获所有接口流量：sudo dumpcap -i any。
   • 指定接口捕获：sudo dumpcap -i eth0。
   • 保存到文件：-w output.pcap。

3. 过滤技巧

   • 捕获特定端口（如HTTP 80）：-f "tcp port 80"。
   • 捕获特定IP或协议：-f "ip.addr == 192.168.1.1"（IP）或-f "tcp"（协议）。
   • 组合过滤（如源端口80且目标IP为example.com）：-f "tcp src port 80 and dst host example.com"。

4. 高级选项

   • 限制捕获数量：-c 100（仅抓100个包）。
   • 设置快照长度：-s 65535（捕获完整数据包）。
   • 实时分析：sudo dumpcap -i eth0 -w - | wireshark -k -i -。
   • 多线程优化：-z fast（启用快速模式）。

5. 配置文件

   • 编辑/etc/dumpcap.conf或~/.dumpcap，可设置默认接口、缓冲区大小等。

6. 注意事项

   • 高流量环境需注意磁盘空间，用-C限制文件大小（如-C 10m限制10MB）。
   • 虚拟机需确保网络模式支持抓包（如桥接模式）。

参考来源：