Dumpcap是Wireshark套件中的命令行数据包捕获工具,它可以高效地捕获网络流量并保存为文件供Wireshark分析。以下是dumpcap与Wireshark配合使用的详细方法:
直接捕获并保存为文件:
dumpcap -i <interface> -w <output_file>
然后在Wireshark中打开生成的.pcapng文件进行分析
指定捕获过滤器:
dumpcap -i eth0 -f "tcp port 80" -w http_traffic.pcapng
dumpcap -i eth0 -w - | wireshark -k -i -
这个命令将dumpcap的输出通过管道实时传递给Wireshark
dumpcap -i eth0 -b filesize:100000 -b files:10 -w capture.pcapng
这将创建10个100KB的文件循环记录,Wireshark可以打开任意一个进行分析
dumpcap -i eth0 -a duration:60 -w one_minute.pcapng
捕获60秒后自动停止,生成的文件可直接用Wireshark打开
dumpcap -i eth0 -w session_%Y%m%d%H%M%S.pcapng -b filesize:100000 -b files:10
按时间和大小分割文件,方便Wireshark按需分析特定时间段
| 参数 | 说明 | Wireshark对应功能 |
|---|---|---|
| -i | 指定网卡接口 | 捕获接口选择 |
| -w | 输出文件名 | 保存捕获文件 |
| -f | 捕获过滤器 | 捕获过滤器 |
| -s | 快照长度 | 限制每个包捕获大小 |
| -a | 自动停止条件 | 捕获自动停止设置 |
| -b | 环形缓冲设置 | 多文件捕获设置 |
通过这种组合,您可以充分利用dumpcap的高效捕获能力和Wireshark强大的分析功能。