以下是Dumpcap在Debian的使用教程:
安裝
更新系統軟件包列表:sudo apt update�����,安裝Wireshark(含Dumpcap):sudo apt install wireshark����。
配置
- 權限配置:普通用戶可能需管理員權限�����,用
sudo setcap 'cap_net_raw,cap_net_admin+eip' /usr/sbin/dumpcap賦予必要權限��。
- 配置文件:可編輯
/etc/dumpcap.conf或用戶主目錄下的.dumpcap文件設置默認接口�����、過濾器等���。
使用
- 基本捕獲:手動啟動���,如
sudo dumpcap -i eth0 -w capture.pcap���,-i指定接口�����,-w指定輸出文件��。
- 設置過濾器:可設置捕獲過濾器���,如
sudo dumpcap -i eth0 -f "tcp port 80" -w capture.pcap���,只捕獲TCP的80端口流量����。
- 實時查看:用
sudo dumpcap -i eth0 -l實時查看捕獲的數據包�����。
- 設置為系統服務:創建
/etc/systemd/system/dumpcap.service文件��,添加相關內容�����,然后啟動并啟用服務����。
分析
使用Wireshark打開生成的.pcap文件進行分析:wireshark capture.pcap��。
