dumpcap 是 Wireshark 套件中的一个命令行工具,用于捕获网络流量。要设置抓包过滤器,您需要在启动 dumpcap 时使用 -f 或 --filter 选项来指定过滤器表达式。
以下是如何使用 dumpcap 设置抓包过滤器的步骤:
打开命令行界面(例如,在 Windows 上是 CMD 或 PowerShell,在 Linux 或 macOS 上是 Terminal)。
输入 dumpcap 命令,并使用 -f 或 --filter 选项后跟您的过滤器表达式。例如,如果您只想捕获 HTTP 流量,可以使用以下命令:
dumpcap -i eth0 -f "tcp port 80"
在这个例子中,-i eth0 指定了要捕获流量的网络接口(您需要根据实际情况替换为正确的网络接口名称),而 "tcp port 80" 是过滤器表达式,它指定了只捕获目标端口为 80 的 TCP 流量。
按 Enter 键运行命令。dumpcap 将开始捕获符合过滤器表达式的流量,并将其保存到默认的输出文件中,通常是 capture.pcap。
如果您想将捕获的流量保存到特定的文件中,可以使用 -w 或 --file 选项指定文件名:
dumpcap -i eth0 -f "tcp port 80" -w mycapture.pcap
这将捕获符合条件的流量并保存到 mycapture.pcap 文件中。
请注意,过滤器表达式的语法遵循 Wireshark 的显示过滤器语法。您可以在 Wireshark 的帮助文档或在线资源中找到更多关于显示过滤器语法的信息。
