dumpcap 是 Wireshark 套件中的一个命令行工具,用于捕获网络流量。在 Debian 中使用 dumpcap 时,可以通过过滤器来指定只捕获特定类型的网络流量。以下是如何在 Debian 中使用 dumpcap 过滤器的步骤:
安装 dumpcap:
如果你还没有安装 dumpcap,可以使用以下命令来安装它:
计算
安全
数据库
网络和加速
企业服务
sudo apt update
sudo apt install wireshark
安装 Wireshark 时,dumpcap 也会被安装。
运行 dumpcap:
打开终端,输入 dumpcap 命令来启动它。默认情况下,dumpcap 可能需要 root 权限来捕获数据包,所以你可能需要使用 sudo:
sudo dumpcap
使用过滤器:
dumpcap 允许你在命令行中使用 BPF (Berkeley Packet Filter) 语法来设置过滤器。例如,如果你只想捕获 HTTP 流量,可以使用以下命令:
sudo dumpcap -i any 'tcp port 80'
这里的 -i any 表示监听所有网络接口,'tcp port 80' 是过滤器表达式,表示只捕获目标端口或源端口为 80 的 TCP 流量。
保存捕获的数据包:
如果你想将捕获的数据包保存到文件中,可以使用 -w 选项指定文件名:
sudo dumpcap -i any 'tcp port 80' -w http_traffic.pcap
读取过滤器表达式:
如果你需要帮助来构建过滤器表达式,可以使用 dumpcap 的 -G 选项来查看支持的过滤器表达式:
dumpcap -G
其他选项:
dumpcap 还有许多其他选项,比如设置捕获数据包的最大长度、设置快照长度等。你可以使用 man dumpcap 来查看完整的帮助文档。
请注意,由于 dumpcap 需要访问网络接口,通常需要 root 权限或者相应的能力(capabilities)来执行。如果你不想每次都使用 sudo,可以考虑调整 /etc/sudoers 文件,给予当前用户对 dumpcap 的无密码执行权限,但这可能会带来安全风险。
亿速云「云服务器」,即开即用、新一代英特尔至强铂金CPU、三副本存储NVMe SSD云盘,价格低至29元/月。点击查看>>
