Tshark
Tshark是Wireshark的命令行版本�����,與dumpcap同為Wireshark生態的一部分���,專注于命令行環境下的數據包捕獲與分析����。它繼承了Wireshark強大的協議解析能力���,支持過濾�����、保存為PCAP文件及實時分析�,適合習慣命令行操作或需要集成到腳本中的用戶�����。安裝方式為sudo apt update && sudo apt install tshark(Debian/Ubuntu系統)���。
tcpdump
tcpdump是Linux系統中最經典的開源命令行抓包工具���,以輕量級����、高性能著稱����。它支持通過BPF(Berkeley Packet Filter)引擎進行精準過濾(如按協議�����、IP���、端口篩選)�,可將捕獲的數據包保存為PCAP文件供后續分析�,是dumpcap在簡單抓包場景下的常用替代�����。安裝命令為sudo apt install tcpdump�。
Zeek(前身為Bro)
Zeek是一款功能強大的開源網絡安全監控框架���,超越了傳統IDS的范疇�,提供對網絡運行的實時洞察�。它不僅能捕獲數據包��,還能生成詳細的網絡日志(如連接��、DNS查詢��、HTTP請求)��,適合需要深度安全分析和威脅檢測的場景����。安裝需添加官方倉庫并執行sudo apt install zeek-lts���。
ngrep
ngrep是一款結合了grep功能的輕量級網絡嗅探工具�,專注于實時匹配數據包中的文本內容(如HTTP請求中的“GET”����、郵件中的“Subject”)��。它支持正則表達式���,適合快速定位特定數據�,是dumpcap在需要文本過濾場景下的便捷替代����。安裝命令為sudo apt install ngrep���。
nethogs
nethogs是一款按進程顯示網絡帶寬使用情況的工具���,可實時監控每個進程的網絡流量(上傳/下載)���,支持IPv4和IPv6����。它適合需要快速識別占用帶寬的進程(如下載軟件��、視頻流)的場景����,是dumpcap在帶寬監控場景下的替代選擇���。
iftop
iftop是一款實時網絡帶寬監控工具�����,以終端界面顯示當前網絡連接的帶寬使用情況(按主機���、端口��、協議分類)���。它支持過濾(如只顯示特定IP或端口的流量)�����,適合需要快速查看網絡帶寬占用情況的場景��。安裝命令為sudo apt install iftop����。
