阅读量:77
在 Debian 系统上使用 Dumpcap 进行网络流量捕获是一个常见的需求,以下是一些常用的命令行操作技巧和参数说明:
安装和验证安装
首先,确保你已经安装了 Wireshark 和 Dumpcap:
sudo apt update
sudo apt install wireshark dumpcap
验证安装:
dumpcap --version
基本用法
- 指定网卡抓包:
dumpcap -i eth0 -w output.pcap
-
指定协议抓包:
-
抓取 UDP 协议数据:
dumpcap -i eth0 udp -w udp_output.pcap -
抓取 TCP 协议数据:
dumpcap -i eth0 tcp -w tcp_output.pcap
-
-
指定端口抓包:
-
抓取特定端口数据:
dumpcap -i eth0 port 80 -w http_output.pcap -
抓取特定端口范围数据:
dumpcap -i eth0 portrange 1024-49151 -w port_range_output.pcap
-
-
指定 IP 或网络抓包:
-
通过 IP 过滤抓包:
dumpcap -i eth0 -s 0 -w ip_output.pcap host 192.168.1.100 -
通过网络过滤抓包:
dumpcap -i eth0 -s 0 -w network_output.pcap net 192.168.1.0/24
-
-
按时间轮转:
dumpcap -i eth0 -w /tmp/trace-%m-%d-%H-%M-%S-%s -G 30 -W 10 -n
- 按文件大小轮转:
dumpcap -i eth0 -w /tmp/udp.pcap -C 10 -W 5 -n
高级参数
- 限制捕获的数据包数量:
dumpcap -i eth0 -c 100 -w output.pcap
- 实时查看捕获的数据包:
dumpcap -i eth0 -l -w - | tcpdump -r -
- 不解析主机名和端口号:
dumpcap -n -i eth0 -w output.pcap
- 安静模式:
dumpcap -q -i eth0 -w output.pcap
注意事项
- 使用 Dumpcap 抓包可能需要 root 权限,因此在某些命令前需要添加
sudo。 - 确保你有足够的磁盘空间来存储抓包文件,特别是在进行长时间或高流量的抓包时。
以上就是在 Debian 系统上使用 Dumpcap 进行网络流量捕获的一些基本技巧和参数说明,希望对你有所帮助。