dumpcap 是一个用于捕获网络数据包的命令行工具,它是 Wireshark 套件的一部分。使用 dumpcap 可以在命令行界面中捕获和分析网络流量。以下是一些常用的 dumpcap 命令行参数及其解析:
-i <interface>: 指定要捕获数据包的网络接口,例如 eth0 或 wlan0。-w <file>: 将捕获的数据包写入指定的文件中,通常使用 .pcap 或 .pcapng 格式。-r <file>: 读取已存在的 pcap 文件并显示其中的数据包。-f <filter>: 使用 BPF (Berkeley Packet Filter) 表达式来过滤捕获的数据包。例如,-f "port 80" 只捕获 HTTP 流量。-c <count>: 设置捕获数据包的最大数量,达到指定数量后自动停止。-G <seconds>: 设置捕获文件的轮转时间间隔,超过这个时间会创建一个新的文件。-W <files>: 设置最大保留的轮转文件数量。-B <size>: 设置每个捕获文件的最大大小(以 MB 为单位)。-q: 安静模式,减少输出信息,只显示必要的信息。-n: 不将地址和端口转换为名称,加快捕获速度。-N: 不解析协议,只捕获原始数据包。-V: 显示版本信息。-h 或 --help: 显示帮助信息。以下是一个简单的 dumpcap 命令示例,它将在 eth0 接口上捕获前 100 个数据包,并将它们保存到 capture.pcap 文件中:
dumpcap -i eth0 -c 100 -w capture.pcap
使用 BPF 过滤器只捕获 HTTP 流量:
dumpcap -i eth0 -f "port 80" -w http_traffic.pcap
请注意,dumpcap 通常需要 root 权限才能正常工作,因为它需要访问网络接口。如果你遇到权限问题,可以在命令前加上 sudo:
sudo dumpcap -i eth0 -w capture.pcap
在使用 dumpcap 时,建议查阅其手册页 (man dumpcap) 以获取更详细的信息和所有可用的命令行选项。