-
安裝工具:
基于Debian系統�,使用命令安裝Wireshark(含Dumpcap):
sudo apt update && sudo apt install wireshark���。
-
配置權限:
普通用戶需賦予抓包權限��,執行:
sudo setcap 'cap_net_raw,cap_net_admin+eip' /usr/sbin/dumpcap�。
或將用戶加入wireshark組(需重新登錄):
sudo usermod -aG wireshark $USER�����。
-
基礎流量捕獲:
- 捕獲指定接口(如
eth0)所有流量并保存到文件:
sudo dumpcap -i eth0 -w capture.pcap��。
- 實時顯示流量(不保存文件):
sudo dumpcap -i eth0 -l���。
-
流量過濾:
- 命令行過濾:使用BPF語法�,如捕獲
eth0接口的HTTP流量(端口80):
sudo dumpcap -i eth0 'tcp port 80' -w http.pcap�����。
- 文件過濾:先保存流量到文件�,再用Wireshark打開并應用過濾條件(如
ip.addr == 192.168.1.1)�����。
-
高級監控配置:
- 輪轉文件:按大小或數量自動分割文件��,例如每500MB生成新文件����,保留5個:
sudo dumpcap -i eth0 -C 500 -W 5 -w capture_%d.pcap��。
- 定時捕獲:結合腳本實現周期性抓包���,如每小時抓取一次�����。
-
分析與可視化:
用Wireshark打開.pcap文件����,通過過濾欄(如tcp.port == 443)或統計工具分析流量�����。
