alt=”dump在Debian系統下使用Dumpcap時,可以通過指定過濾器來捕獲特定類型的網絡流量。Dumpcap使用的過濾器語法遵循PCAP庫的規則。以下是一些基本的過濾規則示例:
-
捕獲特定端口的數據包:
sudo dumpcap -i eth0 -w output.pcap 'port 80'
這個命令將只捕獲目標端口為80的數據包。
-
捕獲特定源或目標IP的數據包:
sudo dumpcap -i eth0 -w output.pcap 'src host 192.168.1.100' sudo dumpcap -i eth0 -w output.pcap 'dst host 192.168.1.100'
這些命令分別捕獲源IP地址為192.168.1.100或目標IP地址為192.168.1.100的數據包。
-
使用復雜的BPF表達式進行高級過濾:
sudo dumpcap -i eth0 -w output.pcap 'tcp and host 192.168.1.100'
這個命令將只捕獲目標或源IP地址為192.168.1.100的TCP數據包。
-
實時查看過濾后的數據包:
sudo dumpcap -i eth0 -w - 'port 80'
這個命令將實時顯示捕獲到的目標端口為80的數據包。
-
將過濾器保存到文件中:
echo "tcp and host 192.168.1.100" > myfilters sudo dumpcap -i eth0 -w output.pcap -F myfilters
首先將過濾器表達式保存到文件myfilters中,然后使用-F選項加載該文件。
在使用Dumpcap時,通常需要管理員權限,因此大多數命令都需要使用sudo來執行。
