dumpcap 是一个用于捕获网络数据包的命令行工具,它是 Wireshark 套件的一部分。dumpcap 可以捕获经过网络接口的数据包,并将其保存到文件中,以便后续分析。以下是一些常用的 dumpcap 参数:
-i <interface>: 指定要捕获数据包的网络接口。-w <file>: 指定输出文件的名称,捕获的数据包将被保存到这个文件中。-C <size>: 设置每个输出文件的最大大小(以 MB 为单位)。-K: 在达到文件大小限制时自动关闭当前文件并创建新文件。-G <seconds>: 设置文件轮转的时间间隔(以秒为单位)。-W <filecount>: 设置保留的最大文件数量。-f <expression>: 使用 BPF (Berkeley Packet Filter) 表达式来过滤捕获的数据包。-R <file>: 从指定的文件中读取 BPF 过滤表达式。-B <size>: 设置缓冲区大小(以 KB 为单位),可以用来提高捕获性能。-q: 减少输出信息,使 dumpcap 运行更安静。-n: 不将地址和端口转换为名称,加快捕获速度。-N: 不解析协议,不对数据包进行解码。-v: 增加输出的详细程度。-vv: 更详细的输出。-vvv: 最详细的输出。-h 或 --help: 显示帮助信息。-V 或 --version: 显示版本信息。捕获所有经过 eth0 接口的数据包,并保存到 capture.pcap 文件中:
dumpcap -i eth0 -w capture.pcap
捕获经过 eth0 接口并且源 IP 地址为 192.168.1.1 的数据包:
dumpcap -i eth0 -f "src host 192.168.1.1" -w capture.pcap
请注意,dumpcap 的参数可能会随着版本的更新而变化,因此建议查看你所使用的 dumpcap 版本的帮助文档或手册页(通过运行 man dumpcap)来获取最准确的信息。