dumpcap 是 Wireshark 套件中的一个命令行工具,用于捕获网络数据包。以下是在 Linux 中使用 dumpcap 的基本步骤:
更新系统包列表:
sudo apt update
安装 Wireshark:
sudo apt install wireshark
安装过程中可能会提示你接受许可协议并选择安装位置。
验证安装:
dumpcap --version
如果安装成功,你应该能看到 dumpcap 的版本号。
基本捕获:
sudo dumpcap -i eth0 -w capture.pcap
这里 -i eth0 指定了要捕获数据包的网络接口(根据你的实际情况替换为正确的接口名),-w capture.pcap 指定了输出文件的名称。
限制捕获的数据包数量:
sudo dumpcap -i eth0 -c 100 -w capture.pcap
这里 -c 100 表示只捕获前 100 个数据包。
设置捕获过滤器:
sudo dumpcap -i eth0 -f "port 80" -w capture.pcap
这里 -f "port 80" 表示只捕获通过端口 80 的数据包。
实时查看捕获的数据包:
sudo dumpcap -i eth0 -w - | tcpdump -r -
这里 - 表示将捕获的数据包输出到标准输出,然后通过管道传递给 tcpdump 进行实时查看。
-i <interface>:指定要捕获数据包的网络接口。-w <file>:指定输出文件的名称。-c <count>:指定要捕获的数据包数量。-f <filter>:指定捕获过滤器。-r <file>:从指定的文件读取数据包进行查看或分析。dumpcap 通常需要 root 权限才能运行,因为它需要访问网络接口。通过以上步骤,你应该能够在 Linux 系统中成功使用 dumpcap 进行网络数据包捕获。
