使用dumpcap实时监控网络需使用-l参数启用行缓冲模式,使捕获的数据包实时输出到控制台,以下是具体操作及常用参数:
基础命令:
dumpcap -i <接口名> -l
<接口名>:需替换为实际网络接口(如Linux的eth0、Windows的Ethernet),可通过dumpcap -D查看可用接口。sudo,Windows以管理员身份运行命令提示符)。保存实时数据:
若需保存数据包供后续分析,可添加-w参数指定文件名:
dumpcap -i <接口名> -l -w output.pcap
按Ctrl+C停止捕获。
过滤特定流量:
-Y参数指定显示过滤器(如仅捕获HTTP流量):dumpcap -i <接口名> -l -Y "tcp.port == 80"
-f参数设置BPF捕获过滤器(如仅捕获目标端口为80的TCP包):dumpcap -i <接口名> -f "tcp port 80" -l
限制捕获数量或时间:
-c参数限制数据包数量(如捕获100个后停止):dumpcap -i <接口名> -l -c 100
-G参数按时间间隔分割文件(如每60秒生成一个文件):dumpcap -i <接口名> -l -G 60 -w capture_%Y-%m-%d_%H-%M-%S.pcap
实时分析数据:
可将输出通过管道传递给tshark(Wireshark命令行分析工具)实时查看详细信息:
dumpcap -i <接口名> -l | tshark -r -
注意:实时监控可能产生大量数据,建议根据需求设置过滤条件或限制捕获时长,避免占用过多资源。