dumpcap 是一个用于捕获网络数据包的命令行工具,它是 Wireshark 套件的一部分。以下是一些常用的 dumpcap 命令行参数:
-i <interface>:指定要捕获数据包的网络接口,例如 -i eth0。
-w <file>:将捕获的数据包写入指定的文件,例如 -w output.pcap。
-r <file>:从指定的文件读取数据包,例如 -r input.pcap。
-c <count>:设置捕获数据包的最大数量,例如 -c 1000。
-b <snaplen>:设置捕获数据包的最大长度(以字节为单位),例如 -b 65535。
-B <size>:设置每个文件的最大大小(以兆字节为单位),例如 -B 10。
-G <seconds>:设置每个文件的捕获时间间隔(以秒为单位),例如 -G 600。
-W <files>:设置要创建的最大文件数量,例如 -W 5。
-q:安静模式,减少输出信息。
-v:详细模式,显示更多输出信息。
-vv:更详细模式,显示更多输出信息。
-vvv:最详细模式,显示最多输出信息。
-n:不解析主机名和端口名,使用数字表示。
-nn:不解析任何名称,包括协议名。
-N:只捕获指定数量的数据包,然后退出。
-s <snaplen>:设置捕获数据包的最大长度(以字节为单位),与 -b 相同。
-T <format>:设置输出文件的格式,例如 -T pcap 或 -T json。
--help:显示帮助信息。
这些参数可以组合使用,以满足您的捕获需求。例如,要捕获名为 eth0 的接口上的前 1000 个数据包,并将它们保存到名为 output.pcap 的文件中,您可以使用以下命令:
dumpcap -i eth0 -c 1000 -w output.pcap