一、 安装Dumpcap

先说说你需要安装dumpcap。

sudo apt update
sudo apt install dumpcap

二、 配置Dumpcap

使用-w选项设置数据包捕获的超时时间，以平衡数据捕获的实时性和存储需求:

dumpcap -w /path/to/capture_file.pcap

配置Dumpcap的缓冲区大小:

sudo apt install dumpcap
sudo dumpcap -i eth0 -w output.pcap

三、指定接口和过滤器

要指定特定的接口，编辑/etc/dumpcap.conf文件。

将此过滤器添加到/etc/dumpcap.conf文件的filter行:

dumpcap -i   -w 
dumpcap -i eth0 -w capture.pcap

使用-B选项设置缓冲区大小，比方说:

dumpcap -i eth0 -B 104857600 -w output.pcap

将缓冲区大小设置为100MB。确保使用性能较高的网络接口进行捕获，比方说:

dumpcap -i eth0

将eth0替换为你系统上性能较好的网络接口。

四、 编辑配置文件

安装完成后可以通过编辑/etc/dumpcap.conf文件来配置Dumpcap，比方说设置捕获接口、过滤器、捕获文件大小限制等。

配置Dumpcap:编辑/etc/dumpcap.conf文件， 设置捕获接口、过滤器等参数。

五、权限问题

sudo setcap 'CAP_NET_RAW+eip CAP_NET_ADMIN+eip' /usr/bin/dumpcap.

有时内核版本问题也可能导致Dumpcap兼容性问题。将Dumpcap文件更改为Wireshark用户组:

sudo chgrp wireshark /usr/bin/dumpcap

六、 兼容性

Dumpcap在Debian上兼容性良好，可通过APT包管理器直接安装，且社区资源丰富，遇到问题易解决。

安装时需注意权限问题， 普通用户可能需通过setcap赋予CAP_NET_RAW和CAP_NET_ADMIN权限，或加入wireshark用户组。

系统版本方面 建议根据Debian版本选择适配的Dumpcap版本，优先使用稳定版软件包。

七、查看权限情况

使用ls -lah /usr/bin/dumpcap命令查看dumpcap的权限情况。

有时内核版本问题也可能导致Dumpcap兼容性问题。如果当前用户没有权限运行dumpcap，可能会导致运行失败。

---