Dumpcap是Wireshark的命令行版本,用于捕獲、存儲和分析網絡流量。以下是一些在Debian系統上使用Dumpcap的技巧:
普通用戶權限問題:
sudo setcap 'CAP_NET_RAW+eip CAP_NET_ADMIN+eip' /usr/bin/dumpcap
指定捕獲接口:
-i
選項指定要捕獲數據包的網絡接口。例如,要捕獲eth0接口上的數據包,可以使用以下命令:dumpcap -i eth0 -w capture.pcap
保存數據包到文件:
capture.pcap
的文件中,可以使用以下命令:dumpcap -i eth0 -w capture.pcap
實時顯示數據包:
過濾數據包:
dumpcap -i eth0 -w output.pcap 'ip.addr == 192.168.1.100'
注意:在過濾器字符串前加上單引號,以確保shell正確解析它。配置文件:
/etc/dumpcap.conf
或/.dumpcap
。在配置文件中,可以添加各種選項來配置Dumpcap。例如:
-i any
-i eth0
-w /path/to/capture_file.pcap
filter tcp
查看所有可用選項:
dumpcap --help
通過這些技巧,您可以更有效地使用Dumpcap在Debian系統上進行網絡流量捕獲和分析。