dumpcap 是一个在 Ubuntu 下常用的网络数据包捕获工具,它是 Wireshark 套件的一部分。dumpcap 可以捕获经过网络接口的数据包,并将其保存到文件中,以便后续分析。以下是 dumpcap 命令的详细解释:
dumpcap [选项]...
-i, --interface=INTERFACE:指定要捕获数据包的网络接口。例如,-i eth0 表示捕获 eth0 接口上的数据包。
-w, --file=FILE:将捕获的数据包保存到指定的文件中。例如,-w capture.pcap 表示将数据包保存到 capture.pcap 文件中。
-C, --maxsize=SIZE:设置每个捕获文件的最大大小(以 MB 为单位)。当达到最大大小时,dumpcap 会自动创建一个新的文件来存储数据包。
-G, --seconds=SECONDS:设置每个捕获文件的持续时间(以秒为单位)。当达到指定时间时,dumpcap 会自动创建一个新的文件来存储数据包。
-c, --count=COUNT:设置要捕获的数据包数量。当捕获到指定数量的数据包时,dumpcap 会停止捕获。
-r, --readfrom=FILE:从指定的文件中读取数据包,而不是实时捕获。
-n, --noswap:不交换数据包中的字节顺序。这可以提高性能,但可能导致某些协议解析错误。
-N, --no-pcap-ng-header:不使用 pcap-ng 文件格式的头信息。这可以减小文件大小,但可能导致某些 pcap-ng 工具无法正确读取文件。
-V, --version:显示 dumpcap 的版本信息。
-h, --help:显示帮助信息。
eth0 接口上的前 100 个数据包,并将它们保存到 capture.pcap 文件中:sudo dumpcap -i eth0 -c 100 -w capture.pcap
eth0 接口上的数据包,每个文件最大为 10 MB,持续时间为 60 秒:sudo dumpcap -i eth0 -C 10 -G 60 -w capture_%Y%m%d_%H%M%S.pcap
注意:在某些系统上,你可能需要使用 sudo 来运行 dumpcap,因为它需要 root 权限来捕获数据包。
在使用 dumpcap 时,请确保遵守当地的法律法规和隐私政策。