Debian Dumpcap使用技巧

在 Debian 系統中，Dumpcap 是 Wireshark 的命令行版本，用于捕獲、存儲和分析網絡流量。以下是在 Debian 上安裝和使用 Dumpcap 的步驟以及一些使用技巧：

安裝和配置

1. 安裝 Wireshark 和 Dumpcap：

sudo apt update
sudo apt install wireshark dumpcap

2. 驗證安裝：

dumpcap --version

3. 查看網絡接口：

dumpcap -D

基本使用

1. 捕獲所有接口的數據包：

dumpcap -i any -w output.pcap

2. 捕獲特定接口的數據包：

dumpcap -i eth0 -w output.pcap

3. 保存抓包文件：

dumpcap -i eth0 -w capture.pcap

4. 設置捕獲過濾器：

dumpcap -i eth0 -f "tcp port 80" -w capture.pcap

5. 限制捕獲的數據包數量：

dumpcap -i eth0 -c 100 -w output.pcap

6. 實時查看捕獲的數據包：

dumpcap -i eth0 -w - | tcpdump -r -

高級使用

1. 多線程捕獲：

dumpcap -i eth0 -nn -s 0 -w file1.pcap & dumpcap -i eth0 -nn -s 0 -w file2.pcap & ...

2. 調整捕獲緩沖區大小：

dumpcap -i eth0 -nn -s 0 -B 1024000 -w file.pcap

3. 非阻塞模式：

dumpcap -i eth0 -nn -s 0 -w file.pcap -q 0

4. 使用壓縮：

dumpcap -i eth0 -nn -s 0 -w file.pcap | gzip > file.pcap.gz

5. 按時間輪轉：

dumpcap -i eth0 -w /tmp/trace-%m-%d-%H-%M-%S-%s -G 30 -W 10 -n

6. 按文件大小輪轉：

dumpcap -i eth0 -w /tmp/udp.pcap -C 10 -W 5 -n

注意事項

• 使用 Dumpcap 抓包可能需要 root 權限，因此在某些命令前需要添加 sudo。
• 確保你有足夠的磁盤空間來存儲抓包文件，特別是在進行長時間或高流量的抓包時。

通過以上步驟和技巧，你可以在 Debian 系統上高效地使用 Dumpcap 進行網絡數據包捕獲和分析。