在 Debian 系统下,Dumpcap 是 Wireshark 的命令行版本,用于捕获、存储和分析网络流量。以下是在 Debian 系统中使用 Dumpcap 的一些基本技巧:
确保系统已更新:
sudo apt update sudo apt upgrade 安装 Wireshark(通常会包含 Dumpcap):
sudo apt install wireshark 开始捕获:
sudo dumpcap -i eth0 指定捕获文件:
sudo dumpcap -i eth0 -w output.pcap 实时显示数据包:
sudo dumpcap -i eth0 -w - | tcpdump -r - 普通用户可能无法直接使用 dumpcap 进行捕获,因为它需要特权。可以通过设置文件能力来解决:
sudo setcap 'CAP_NET_RAWeip CAP_NET_ADMINeip' /usr/bin/dumpcap 确保指定的网络接口是启用状态。可以使用 ifconfig 或 ip addr 命令来查看网络接口的状态:
ip addr show eth0 使用过滤器来限制捕获的数据包。例如,只捕获特定 IP 地址的数据包:
sudo dumpcap -i eth0 -w output.pcap 'ip.addr == 192.168.1.100' 在保存捕获的数据包时,确保文件路径正确并且具有足够的权限。例如,设置捕获文件的最大大小:
sudo dumpcap -i eth0 -w output.pcap -F pcap -s 0 -C 1000000 设置捕获缓冲区大小:
-B 1048576 设置最大捕获文件大小:
-W /path/to/capture_file.pcap 设置数据包捕获超时时间:
-w /path/to/capture_file.pcap 设置过滤器以捕获特定类型的数据包:
filter tcp 
