dumpcap

dumpcap ist Teil von Wireshark und ist speziell aufgebaut zur Paketerfassung.

Vorteil von dumpcap ist es, dass keine administrativen Berechtigungen notwendig sind, im Gegensatz zu Wireshark.

Ein Beispiel lautet:

dumpcap -i eth0 -w test.pcap 'not port 22'

³ Davidoff, Sherri; Ham, Jonathan, Network Forensics; Prentice Hall, Pearson Education; 2012; Seite 64/65