本文介紹在Linux系統中利用dumpcap進行網絡數據包抓取和解碼的方法。

第一步：安裝dumpcap

首先，確保你的系統已安裝Wireshark，它包含dumpcap工具。 使用你的發行版包管理器即可安裝：

Debian/Ubuntu系統：

sudo apt update sudo apt install wireshark

red Hat/centos/Fedora系統：

sudo yum update sudo yum install wireshark

第二步：抓取數據包

使用以下命令抓取數據包，將替換為你的網絡接口名稱（例如eth0, wlan0），替換為你想要保存的pcap文件名稱：

sudo dumpcap -i <interface> -w <output_file>

第三步：使用Wireshark解碼

抓取完成后，使用Wireshark打開生成的pcap文件（.pcap）。Wireshark會自動解析數據包，顯示協議信息、源/目的地址、端口號等詳細信息。

第四步：命令行解碼 (使用tshark)

如果你偏好命令行，可以使用tshark（Wireshark的命令行工具）：

tshark -r <output_file>

這會將解碼后的數據包信息輸出到終端。

第五步：數據包過濾

可以使用過濾器精簡結果。例如，只顯示http流量：

tshark -r <output_file> -Y "http"

-Y 后面接的是Wireshark的顯示過濾器表達式。

第六步：保存過濾結果

將過濾后的結果保存到新文件：

tshark -r <output_file> -Y "http" -w 

請注意，許多操作需要root權限（使用sudo）。 熟練掌握Wireshark的過濾器語法可以極大提高分析效率。