Dumpcap 是 Wireshark 套件中的一个命令行工具,用于捕获网络流量。要在 Debian 中使用 Dumpcap 进行实时流量分析,请按照以下步骤操作:
打开终端,然后输入以下命令以安装 Wireshark 和 Dumpcap:
sudo apt update sudo apt install wireshark dumpcap 默认情况下,Dumpcap 可能需要 root 权限才能捕获网络流量。为了方便使用,可以将当前用户添加到 wireshark 组,这样就不需要每次都使用 sudo 运行 Dumpcap。
sudo usermod -aG wireshark $USER 然后注销并重新登录,以使更改生效。
现在可以使用 Dumpcap 捕获实时网络流量。例如,要捕获名为 eth0 的网络接口上的所有流量,请在终端中输入以下命令:
sudo dumpcap -i eth0 -w output.pcap 这将捕获 eth0 接口上的所有流量,并将其保存到名为 output.pcap 的文件中。
要实时查看捕获的流量,请使用 Wireshark 图形界面。在终端中输入以下命令启动 Wireshark:
wireshark 然后,在 Wireshark 中打开 output.pcap 文件,即可实时查看捕获的流量。
Dumpcap 和 Wireshark 支持使用过滤器来捕获特定类型的流量。例如,要仅捕获 HTTP 流量,可以在启动 Dumpcap 时添加 -Y 参数和过滤器表达式:
sudo dumpcap -i eth0 -w output.pcap -Y "tcp.port == 80" 这将仅捕获目标或源端口为 80 的 TCP 流量。
类似地,在 Wireshark 中,可以使用过滤器栏输入过滤器表达式,以实时查看特定类型的流量。例如,要仅查看 HTTP 流量,请在过滤器栏中输入 tcp.port == 80。
