dumpcap 是一个在 Linux 下广泛使用的命令行工具,用于捕获网络数据包
-i <interface>: 指定要捕获数据包的网络接口,例如 -i eth0。-w <file>: 将捕获的数据包写入指定的文件,例如 -w output.pcap。-r <file>: 从指定的文件读取数据包,例如 -r input.pcap。-c <count>: 捕获指定数量的数据包后停止,例如 -c 1000。-b <snaplen>: 设置捕获数据包的最大长度(以字节为单位),例如 -b 65535。-B <size>: 设置文件大小限制,当达到指定大小时创建新的文件,例如 -B 100000000(100MB)。-G <seconds>: 设置文件轮转的时间间隔(以秒为单位),例如 -G 600(每10分钟创建一个新的文件)。-W <file>: 将捕获的数据包写入指定的文件,但在达到指定文件大小时自动轮转,例如 -W output.pcap。-q: 安静模式,减少输出信息。-v: 详细模式,显示更多输出信息。-vv: 更详细的模式,显示更多输出信息。-n: 不将地址和端口转换为名称。-nn: 不将地址和端口转换为名称,也不使用数字表示。-N <snaplen>: 设置捕获数据包的最大长度(以字节为单位),但仅适用于新的文件。例如,-N 65535 -G 600 -W output_%d.pcap。-s <snaplen>: 设置捕获数据包的最大长度(以字节为单位),例如 -s 1514。这些参数可以组合使用,以满足您的需求。例如,要捕获名为 eth0 的接口上的前 1000 个数据包,并将它们保存到名为 output.pcap 的文件中,您可以使用以下命令:
dumpcap -i eth0 -c 1000 -w output.pcap
更多关于 dumpcap 的信息和参数,请参阅其官方文档或使用 man dumpcap 命令查看手册页。