dumpcap 是 Wireshark 套件中的一个命令行工具,用于捕获网络流量。要使用 dumpcap 进行实时捕获,请按照以下步骤操作:
打开命令提示符(Windows)或终端(macOS/Linux)。
输入以下命令以启动 dumpcap:
dumpcap
为了进行实时捕获,您需要指定一个网络接口。例如,如果您要捕获名为 “eth0” 的接口上的流量,请输入以下命令:
dumpcap -i eth0
默认情况下,dumpcap 会捕获所有接口上的流量。如果您只想捕获特定协议(如 TCP、UDP 或 ICMP)的流量,请使用 -Y 选项指定过滤器。例如,要仅捕获 TCP 流量,请输入以下命令:
dumpcap -i eth0 -Y "tcp"
若要将捕获的数据保存到文件中,请使用 -w 选项指定输出文件名。例如,要将捕获的数据保存到名为 “output.pcap” 的文件中,请输入以下命令:
dumpcap -i eth0 -w output.pcap
若要实时查看捕获的数据包,请使用 -l 选项。这将使 dumpcap 在捕获数据包时立即将其显示在终端中。例如:
dumpcap -i eth0 -l
若要设置捕获数据包的最大数量,可以使用 -c 选项。例如,要捕获最多 100 个数据包,请输入以下命令:
dumpcap -i eth0 -c 100
若要设置捕获数据包的最大文件大小,可以使用 -C 选项。例如,要将每个输出文件的大小限制为 10MB,请输入以下命令:
dumpcap -i eth0 -C 10m
若要设置捕获数据包的时间间隔,可以使用 -G 选项。例如,要每 60 秒创建一个新的输出文件,请输入以下命令:
dumpcap -i eth0 -G 60
通过这些选项,您可以使用 dumpcap 进行实时捕获并根据需要自定义捕获设置。
