dumpcap主要用于捕獲數據包�,提取內容需結合其他工具�,步驟如下:
-
安裝工具
- Linux(以Ubuntu為例):
sudo apt update && sudo apt install wireshark
- Windows/macOS:通過Wireshark安裝包安裝�����。
-
捕獲數據包
sudo dumpcap -i <接口名> -w output.pcap [-c <數量>] [-f "過濾器"]
-i:指定網卡(如eth0)��。-w:保存為.pcap文件����。-c:限制捕獲數量(如-c 100)���。-f:應用BPF過濾器(如"tcp port 80")�����。
-
提取內容
- 圖形界面:用Wireshark打開
.pcap文件�����,直接查看協議����、源/目的地址等詳細信息����。
- 命令行:用
tshark解析內容:
- 顯示詳細解碼:
tshark -r output.pcap -V�����。
- 過濾特定協議:
tshark -r output.pcap -Y "http" -V�����。
- 導出為CSV/XML:
tshark -r output.pcap -T fields -e ip.src -e ip.dst -w parsed.csv��。
注意:
- dumpcap需
sudo權限運行�。
- 復雜協議解碼建議用Wireshark圖形界面�。
