Debian Dumpcap的命令行操作技巧

在 Debian 系統上使用 Dumpcap 進行網絡流量捕獲是一個常見的需求，以下是一些常用的命令行操作技巧和參數說明：

安裝和驗證安裝

首先，確保你已經安裝了 Wireshark 和 Dumpcap：

sudo apt update
sudo apt install wireshark dumpcap

驗證安裝：

dumpcap --version

基本用法

• 指定網卡抓包：

dumpcap -i eth0 -w output.pcap

• 指定協議抓包：

  • 抓取 UDP 協議數據：

    dumpcap -i eth0 udp -w udp_output.pcap
    

  • 抓取 TCP 協議數據：

    dumpcap -i eth0 tcp -w tcp_output.pcap
    

• 指定端口抓包：

  • 抓取特定端口數據：

    dumpcap -i eth0 port 80 -w http_output.pcap
    

  • 抓取特定端口范圍數據：

    dumpcap -i eth0 portrange 1024-49151 -w port_range_output.pcap
    

• 指定 IP 或網絡抓包：

  • 通過 IP 過濾抓包：

    dumpcap -i eth0 -s 0 -w ip_output.pcap host 192.168.1.100
    

  • 通過網絡過濾抓包：

    dumpcap -i eth0 -s 0 -w network_output.pcap net 192.168.1.0/24
    

• 按時間輪轉：

dumpcap -i eth0 -w /tmp/trace-%m-%d-%H-%M-%S-%s -G 30 -W 10 -n

• 按文件大小輪轉：

dumpcap -i eth0 -w /tmp/udp.pcap -C 10 -W 5 -n

高級參數

• 限制捕獲的數據包數量：

dumpcap -i eth0 -c 100 -w output.pcap

• 實時查看捕獲的數據包：

dumpcap -i eth0 -l -w - | tcpdump -r -

• 不解析主機名和端口號：

dumpcap -n -i eth0 -w output.pcap

• 安靜模式：

dumpcap -q -i eth0 -w output.pcap

注意事項

1. 使用 Dumpcap 抓包可能需要 root 權限，因此在某些命令前需要添加 sudo。
2. 確保你有足夠的磁盤空間來存儲抓包文件，特別是在進行長時間或高流量的抓包時。

以上就是在 Debian 系統上使用 Dumpcap 進行網絡流量捕獲的一些基本技巧和參數說明，希望對你有所幫助。