Linux系统安装dumpcap步骤
Linux是dumpcap的主要支持平台,安装方式分为包管理器安装(推荐,简单快捷)、源码编译安装(适合需要特定版本或自定义配置的场景)两类。
apt安装dumpcap(部分系统需通过安装tcpdump间接获取):sudo apt update
sudo apt install dumpcap # 直接安装dumpcap
# 或通过tcpdump安装(部分系统将dumpcap包含在tcpdump包中)
# sudo apt install tcpdump
yum(CentOS 7及以下)或dnf(CentOS 8及以上/RHEL 8及以上)安装:sudo yum install dumpcap # CentOS 7及以下
sudo dnf install dumpcap # CentOS 8+/RHEL 8+
dnf包管理器安装:sudo dnf install dumpcap
pacman包管理器安装:sudo pacman -S dumpcap
dumpcap --version验证是否成功。若包管理器中没有所需版本,可从源码编译:
sudo apt install build-essential libpcap-dev libnl-3-dev libnl-genl-3-dev
wget https://github.com/wireshark/dumpcap/releases/download/v1.12.3/dumpcap-1.12.3.tar.gz # 替换为最新版本链接
tar -xzf dumpcap-1.12.3.tar.gz
cd dumpcap-1.12.3
./configure
make
sudo make install
dumpcap捕获网络流量需要底层权限,默认需root身份运行。为避免频繁使用sudo,可通过以下两种方式配置:
wireshark组(推荐,安全便捷):sudo usermod -aG wireshark $USER # 将当前用户添加到wireshark组
sudo chgrp wireshark /usr/sbin/dumpcap # 修改dumpcap所属组
sudo chmod 750 /usr/sbin/dumpcap # 设置组可执行权限
setcap命令赋予dumpcap特定权限:sudo setcap cap_net_raw,cap_net_admin=eip /usr/sbin/dumpcap
getcap /usr/sbin/dumpcap # 应显示"cap_net_raw,cap_net_admin=eip"
dumpcap命令。无论采用哪种安装方式,最后都需验证dumpcap是否能正常运行:
dumpcap --version
若输出dumpcap的版本信息(如dumpcap 1.12.3)及依赖库版本,则说明安装成功。
Windows/macOS系统说明
C:\Program Files\Wireshark),使用时需以管理员身份运行命令提示符。brew install wireshark),dumpcap会随Wireshark一起安装。安装后需将当前用户加入access_bpf组(sudo dseditgroup -o edit -a $USER -t user access_bpf),以获取捕获权限。
