ubuntu dumpcap命令行参数

dumpcap 是 Wireshark 套件中的一个命令行工具，用于捕获网络数据包。以下是一些常用的 dumpcap 命令行参数：

基本参数

1. -i 指定要捕获数据包的网络接口。

2. -w 将捕获的数据包写入指定的文件中。

3. -C 设置每个捕获文件的最大大小（以 MB 为单位）。

4. -K 在达到文件大小限制时自动创建新的捕获文件。

5. -G 设置捕获文件的轮转间隔（以秒为单位）。

6. -W 设置要创建的最大捕获文件数量。

7. -r 读取已存在的 pcap 文件并显示其内容。

8. -n 不尝试将地址和端口转换为名称。

9. -nn 不进行任何名称解析。

10. -N 限制捕获的数据包数量。

11. -q 安静模式，减少输出信息。

12. -v 增加详细程度。

13. -vv 更详细的输出。

14. -vvv 最详细的输出。

高级参数

1. -B 设置每个捕获文件的最大字节数。

2. -E [:]=… 设置加密选项。

3. -F 使用 Berkeley Packet Filter (BPF) 过滤器来捕获特定的数据包。

4. -I 以混杂模式运行接口。

5. -l 允许在捕获过程中记录日志。

6. -m 使用指定的映射文件来解析协议字段。

7. -M 使用指定的映射文件来解析协议字段（与 -m 类似，但用于不同的目的）。

8. -P 不将数据包写入磁盘，只显示在终端上。

9. -s 设置捕获数据包的最大长度（以字节为单位）。

10. -T 指定输出文件的格式（如 pcapng、csv 等）。

示例

• 捕获所有接口上的数据包并保存到 capture.pcap 文件中：

  sudo dumpcap -i any -w capture.pcap
  

• 使用 BPF 过滤器只捕获 HTTP 请求：

  sudo dumpcap -i eth0 -w http_requests.pcap 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]>>4)<<2)) != 0)'
  

• 捕获前 100 个数据包并显示在终端上：

  sudo dumpcap -i eth0 -c 100 -v
  

请注意，某些参数可能需要 root 权限才能正常工作。在使用 dumpcap 时，请确保了解每个参数的作用，并根据需要进行适当的配置。