dumpcap 是 Wireshark 套件中的一个命令行工具,用于捕获网络流量。以下是 dumpcap 的一些常用命令行参数及其解析:
-i <interface>: 指定要捕获流量的网络接口。-w <file>: 将捕获的数据包写入指定的文件中,通常使用 .pcap 或 .pcapng 格式。-b <snaplen>: 设置捕获数据包的最大长度(以字节为单位)。默认值通常是 262144 字节(65535 字节)。-B <buffers>: 设置用于存储捕获数据包的内存缓冲区数量。每个缓冲区的大小为 snaplen。-c <count>: 指定要捕获的最大数据包数量。达到此数量后,dumpcap 将停止捕获。-t <adddate>: 在输出文件名中添加日期和时间戳。-C <size>: 当输出文件达到指定大小时,自动创建新的文件。-G <seconds>: 设置捕获文件的轮转间隔(以秒为单位)。-W <file>: 指定一个文件,其中包含要捕获的接口列表。-f <expression>: 使用 BPF(Berkeley Packet Filter)语法指定一个过滤器表达式,以便只捕获符合特定条件的数据包。-n: 不将地址和端口号转换为名称,以提高捕获速度。-N: 不解析协议层次结构,只显示原始数据包内容。-q: 安静模式,减少输出信息,只显示错误和警告。-v: 增加输出详细程度,显示更多关于捕获过程的信息。-vv: 更详细的输出,包括每个捕获的数据包的详细信息。-h 或 --help: 显示帮助信息并退出。-V 或 --version: 显示 dumpcap 的版本信息并退出。这些参数可以根据需要进行组合使用,以实现所需的捕获设置。例如,以下命令将在接口 eth0 上捕获最多 1000 个数据包,并将它们保存到名为 capture.pcap 的文件中:
dumpcap -i eth0 -w capture.pcap -c 1000
请注意,根据您的操作系统和 Wireshark 版本,某些参数可能略有不同。在使用 dumpcap 时,请务必查阅您所使用的版本的官方文档以获取最准确的信息。