使用dumpcap过滤特定流量的方法如下:
在Debian系统上,可以使用以下命令安装Dumpcap:
sudo apt update
sudo apt install wireshark
sudo dumpcap -i any
sudo dumpcap -i eth0
使用过滤器:在捕获时应用过滤器,只捕获符合条件的数据包。
显示所有TCP数据包:
sudo dumpcap -i any 'tcp'
显示特定源IP的数据包(例如192.168.1.1):
sudo dumpcap -i any 'src host 192.168.1.1'
显示特定目标IP的数据包(例如192.168.1.2):
sudo dumpcap -i any 'dst host 192.168.1.2'
显示特定端口的数据包(例如80端口):
sudo dumpcap -i any 'port 80'
组合多个过滤器(例如,显示源IP为192.168.1.1且目标端口为80的数据包):
sudo dumpcap -i any 'src host 192.168.1.1 and dst port 80'
可以将捕获的数据包保存到文件中,以便后续分析:
sudo dumpcap -i any -w capture.pcap
使用Wireshark或其他工具读取保存的捕获文件:
wireshark capture.pcap
请注意,使用dumpcap需要root权限来捕获网络流量,因此通常需要使用sudo。
