功能概述
支持。dumpcap 是 Wireshark 套件的命令行抓包工具,在 Ubuntu 上可直接对网络接口进行实时捕获;若需要边抓边看,可启用行缓冲输出到终端,或将数据实时写入文件后用 Wireshark 打开分析。
快速用法
- 安装与权限
- 安装:sudo apt update && sudo apt install wireshark
- 为免 sudo 抓包,将用户加入 wireshark 组:sudo adduser $USER wireshark,然后注销并重新登录
- 实时显示到终端(不落盘)
- 简洁输出:sudo dumpcap -i any -l -q
- 显示包内容:sudo dumpcap -i any -q -A
- 实时写入文件并后续分析
- 写入文件:sudo dumpcap -i any -w capture.pcapng
- 停止:按 Ctrl+C;随后用 wireshark capture.pcapng 实时查看与分析
常用参数
- -i any:监听所有接口;也可指定具体接口如 eth0、wlan0
- -l:启用行缓冲,便于终端实时回显
- -q:减少状态输出,提升性能
- -A:以 ASCII 格式打印包内容到终端
- -w file:将捕获数据写入文件,支持 PCAP/PCAPNG
- -c N:捕获 N 个包后自动停止
- 过滤器:使用 BPF 语法,如 ‘tcp port 80’、‘src host 192.168.1.1’
注意事项
- 抓包通常需要管理员权限;建议通过加入 wireshark 组来避免长期使用 sudo
- 实时显示会产生大量输出,建议配合 -q/-A 或写入文件再分析
- 实时写文件时注意磁盘空间与 I/O 压力,必要时使用 -c 限制包数或设置合适的 BPF 过滤表达式
