dumpcap 是 Wireshark 套件中的一个命令行工具,用于捕获网络数据包。以下是在 Ubuntu 中使用 dumpcap 的一些案例:
步骤:
sudo dumpcap -i eth0 -w capture.pcap 并按回车键。说明:
-i eth0:指定要捕获数据包的网络接口(这里假设是 eth0,你的网络接口可能不同)。-w capture.pcap:将捕获的数据包保存到名为 capture.pcap 的文件中。步骤:
sudo dumpcap -i eth0 -w capture.pcap 'tcp port 80' 并按回车键。说明:
'tcp port 80':这是一个过滤器表达式,表示只捕获通过 TCP 协议、目标端口为 80 的数据包。步骤:
cron 或其他定时任务工具设置一个定时任务,在特定时间段内运行 dumpcap。例如,使用 cron 在每天的凌晨 2 点到 4 点之间捕获数据包:
crontab 文件:crontab -e0 2 * * * /usr/sbin/dumpcap -i eth0 -w /var/log/capture_%Y%m%d_%H%M%S.pcap
这将在每天的凌晨 2 点运行 dumpcap,并将捕获的数据包保存到 /var/log/ 目录下,文件名包含日期和时间。
虽然 dumpcap 主要用于捕获和保存数据包,但你也可以使用 -l 选项来实时查看捕获的数据包(不保存到文件):
sudo dumpcap -i eth0 -l
dumpcap 通常需要 root 权限,因此请使用 sudo。dumpcap 时,请务必遵守相关法律法规和隐私政策。
