Ubuntu Dumpcap命令行参数详解

dumpcap 是 Wireshark 套件中的一个命令行工具，用于捕获网络数据包。以下是一些常用的 dumpcap 命令行参数及其详解：

基本参数

1. -i

   • 指定要捕获数据包的网络接口。
   • 例如：-i eth0

2. -w

   • 将捕获的数据包写入指定的文件中，通常以 .pcap 或 .pcapng 格式保存。
   • 例如：-w capture.pcap

3. -C

   • 设置每个捕获文件的最大大小（以 MB 为单位）。
   • 例如：-C 100 表示每个文件最大为 100 MB。

4. -G

   • 设置自动旋转捕获文件的时间间隔（以秒为单位）。
   • 例如：-G 3600 表示每小时创建一个新的捕获文件。

5. -W

   • 设置自动旋转捕获文件的最大数量。
   • 例如：-W 10 表示最多保留 10 个捕获文件。

6. -q

   • 安静模式，减少输出信息，只显示错误信息。

7. -v

   • 详细模式，显示更多的调试信息。

8. -vv

   • 更详细的模式，显示最多的调试信息。

过滤参数

1. -f
   • 使用 BPF（Berkeley Packet Filter）语法指定过滤器表达式，只捕获符合条件的数据包。
   • 例如：-f "tcp port 80" 只捕获 TCP 端口 80 的数据包。

时间参数

1. -a

   • 设置捕获数据包的最大长度（以字节为单位）。
   • 例如：-a 65535 表示捕获整个数据包，不截断。

2. -s

   • 同 -a，设置捕获数据包的最大长度。

网络参数

1. -n

   • 不将地址和端口转换为名称，直接显示 IP 地址和端口号。

2. -nn

   • 不进行任何名称解析，包括协议名称和端口名称。

3. -N

   • 不解析协议名称，只显示数字形式的协议编号。

其他参数

1. -t

   • 设置时间戳的格式。
   • 例如：-t ad 表示使用绝对日期和时间。

2. -T

   • 设置输出文件的格式。
   • 例如：-T fields 表示输出特定字段的数据。

3. -E =

   • 设置加密选项，例如 -E encryption_key=123456。

4. -K

   • 启用密钥日志记录。

示例命令

dumpcap -i eth0 -w capture.pcap -C 100 -G 3600 -W 10 -f "tcp port 80" -n

这个命令会在 eth0 接口上捕获 TCP 端口 80 的数据包，每个文件最大 100 MB，每小时创建一个新的文件，最多保留 10 个文件，并且不进行名称解析。

希望这些参数能帮助你更好地使用 dumpcap 进行网络数据包捕获。如果有更多问题，欢迎继续提问！