ubuntu下dumpcap命令行参数有哪些

dumpcap 是 Wireshark 套件中的一个命令行工具，用于捕获网络流量。以下是一些常用的 dumpcap 命令行参数：

基本参数

1. -i

   • 指定要捕获流量的网络接口。

2. -w

   • 将捕获的数据保存到指定的文件中。

3. -C

   • 设置每个捕获文件的最大大小（以 MB 为单位）。

4. -K

   • 在达到文件大小限制时自动创建新的捕获文件。

5. -G

   • 设置捕获文件的轮转间隔（以秒为单位）。

6. -W

   • 指定要保留的最大捕获文件数量。

7. -n

   • 不尝试将地址和端口转换为名称。

8. -N

   • 不解析协议层。

9. -r

   • 读取指定的捕获文件进行显示或分析。

高级参数

1. -B

   • 设置 BPF 过滤器的最大缓冲区大小。

2. -e

   • 捕获以太网帧的链路层头部。

3. -E =…

   • 设置捕获文件的加密密钥。

4. -f

   • 使用 BPF 过滤器表达式来选择性地捕获流量。

5. -I

   • 在捕获开始时打印统计信息。

6. -l

   • 允许在捕获过程中动态加载和卸载过滤器。

7. -M

   • 设置捕获文件的类型（如 pcapng、pcap 等）。

8. -P

   • 不在捕获开始时暂停，立即开始捕获。

9. -q

   • 安静模式，减少输出信息。

10. -s

    • 设置捕获的最大长度（以字节为单位），默认值为 262144 字节（256 KB）。

11. -t

    • 设置时间戳的格式（如 abs、rel、dlt 等）。

12. -T

    • 设置输出文件的格式（如 pcap、json、csv 等）。

示例命令

sudo dumpcap -i eth0 -w capture.pcapng -C 100 -G 3600 -W 10

这个命令会在 eth0 接口上捕获流量，保存到 capture.pcapng 文件中，每个文件最大 100 MB，每小时轮转一次，最多保留 10 个文件。

注意事项

• 使用 dumpcap 通常需要 root 权限，因为它需要访问网络接口。
• 确保你的系统上已经安装了 Wireshark 套件，因为 dumpcap 是其中的一部分。

更多详细的参数和用法可以通过运行 man dumpcap 或查看 Wireshark 的官方文档来获取。