Debian Dumpcap命令行参数有哪些

dumpcap 是 Wireshark 套件中的一个命令行工具，用于捕获网络流量。以下是一些常用的 dumpcap 命令行参数：

基本参数

1. -i

   • 指定要捕获流量的网络接口。

2. -w

   • 将捕获的数据包写入指定的文件。

3. -C

   • 设置每个捕获文件的最大大小（以 MB 为单位）。

4. -K

   • 启用“keep packets”模式，即使磁盘空间不足也会继续捕获。

5. -G

   • 设置捕获文件的轮转间隔（以秒为单位）。

6. -W

   • 指定最大保留的捕获文件数量。

7. -q

   • 安静模式，减少输出信息。

8. -v

   • 详细模式，显示更多调试信息。

9. -vv

   • 更详细的输出。

10. -vvv

    • 最详细的输出。

过滤参数

1. -f

   • 使用 BPF（Berkeley Packet Filter）语法指定捕获过滤器。

2. -F

   • 从文件中读取 BPF 过滤器。

网络接口参数

1. -I

   • 使用混杂模式捕获所有流量，即使不是发往本机的数据包。

2. -B

   • 设置最大捕获长度（snaplen），即每个数据包的最大字节数。

3. -n

   • 不将地址和端口转换为名称。

4. -nn

   • 不将协议字段转换为名称。

5. -N

   • 不解析协议层头。

时间参数

1. -t

   • 在输出文件名中添加日期和时间戳。

2. -tt

   • 以秒为单位显示时间戳。

3. -ttt

   • 以毫秒为单位显示时间戳。

4. -tttt

   • 以微秒为单位显示时间戳。

其他参数

1. -c

   • 捕获指定数量的数据包后停止。

2. -U

   • 使用原始模式捕获数据包（需要 root 权限）。

3. -e

   • 显示链路层头部信息。

4. -E =…

   • 设置或修改捕获文件的元数据。

5. -F

   • 指定输出文件的格式（如 pcapng、pcap 等）。

示例命令

dumpcap -i eth0 -w capture.pcap -C 100 -G 3600 -W 10 -q

这个命令会在 eth0 接口上捕获流量，写入 capture.pcap 文件，每个文件最大 100MB，每小时轮转一次，最多保留 10 个文件，并且以安静模式运行。

请注意，某些参数可能需要 root 权限才能正常工作。在使用 dumpcap 时，请确保你有足够的权限，并且了解每个参数的作用和潜在影响。