在Ubuntu系统中，使用dumpcap工具可以捕获网络数据包。如果你想要过滤数据包，可以使用dumpcap的过滤器功能。以下是一些基本步骤和示例：

1. 打开终端：
   打开你的Ubuntu终端。

2. 运行dumpcap：
   使用dumpcap命令来捕获数据包。基本的命令格式如下：

   sudo dumpcap -i <interface>
   

   其中<interface>是你想要捕获数据包的网络接口名称，比如eth0或wlan0。

3. 使用过滤器：
   dumpcap支持BPF（Berkeley Packet Filter）语法来过滤数据包。你可以在启动dumpcap时直接指定过滤器，或者在运行时动态添加过滤器。

   • 启动时指定过滤器：

     sudo dumpcap -i eth0 'port 80'
     

     这个命令会捕获所有通过接口eth0并且目标端口或源端口为80的数据包。

   • 运行时添加过滤器：
     如果你已经启动了dumpcap，你可以使用-F选项来设置过滤器：

     sudo dumpcap -i eth0 -F 'port 80'
     

4. 保存捕获的数据包：
   你可以将捕获的数据包保存到文件中，以便后续分析。使用-w选项指定输出文件：

   sudo dumpcap -i eth0 -w output.pcap
   

5. 读取捕获的数据包：
   使用tcpdump或Wireshark等工具来读取和分析保存的数据包文件：

   tcpdump -r output.pcap
   

   或者直接在Wireshark中打开output.pcap文件。

示例过滤器

• 捕获特定IP的数据包：

  sudo dumpcap -i eth0 'host 192.168.1.1'
  

• 捕获特定协议的数据包：

  sudo dumpcap -i eth0 'tcp'
  

• 捕获特定源或目标端口的数据包：

  sudo dumpcap -i eth0 'port 80 or port 443'
  

• 捕获特定MAC地址的数据包：

  sudo dumpcap -i eth0 'ether host 00:11:22:33:44:55'
  

通过这些基本步骤和示例，你应该能够在Ubuntu系统中使用dumpcap工具来过滤和分析网络数据包。