Dumpcap在Debian中的使用案例
一 安装与权限配置
sudo apt update && sudo apt install wireshark。安装后可用 dumpcap --version 验证。为减少直接使用 root,建议配置非特权抓包:创建 wireshark 组并将当前用户加入 sudo usermod -aG wireshark $USER;随后为二进制授予能力 sudo setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap,重新登录后生效。也可选择传统方式:创建专用组(如 packet_capture)、赋权并编辑 /etc/dumpcap.conf 设置默认接口与选项。二 基础抓包与文件分割
sudo dumpcap -i any -w capture.pcapsudo dumpcap -i eth0 -c 1000 -w capture.pcapsudo dumpcap -i eth0 -w capture.pcap -C 10m -W 5sudo dumpcap -i eth0 -G 60 -W bysec -w capture_%Y-%m-%d_%H-%M-%S.pcap三 捕获过滤与显示控制
sudo dumpcap -i eth0 -f "port 80" -w http.pcapsudo dumpcap -i eth0 -f "tcp and host 192.168.1.100" -w host100_tcp.pcapsudo dumpcap -i eth0 -f "src host 192.168.1.100" -w from100.pcap;sudo dumpcap -i eth0 -f "dst host 192.168.1.100" -w to100.pcapsudo dumpcap -i eth0 -w - 'port 80' | tcpdump -r -sudo dumpcap -i eth0 -s 65535 -w full.pcap四 与Wireshark和Tshark联动分析
wireshark capture.pcap,便于按协议、会话、时间线进行深度分析。tshark -r capture.pcap -Y "http" -T fields -e frame.number -e ip.src -e ip.dst -e http.host -e http.request.method -e http.request.uritshark -i eth0 -Y "http" -T fields -e frame.number -e ip.src -e ip.dst -e http.host -e http.request.method -e http.request.uri五 故障排查与最佳实践
newgrp wireshark 或重新登录;用 dumpcap -D 列出可用接口,避免接口名拼写错误。-c)、启用文件滚动(-C/-G/-W)、在低峰期抓包并预估磁盘空间。