在Debian系统中,dumpcap 是一个用于捕获网络数据包的工具,它是Wireshark套件的一部分。dumpcap 提供了丰富的参数来控制数据包捕获的过程。以下是一些常用的 dumpcap 参数:
-i <interface>: 指定要捕获数据包的网络接口。-w <file>: 将捕获的数据包写入指定的文件。-C <size>: 设置每个捕获文件的最大大小(以MB为单位)。-G <seconds>: 设置捕获文件的轮转时间间隔(以秒为单位)。-W <files>: 设置最大保留的捕获文件数量。-b <snaplen>: 设置最大捕获长度(以字节为单位),超过此长度的数据包将被截断。-e: 记录链路层头部信息。-E <key>=<value>: 设置加密选项,例如 -E encryption_key=1234567890。-f <display_filter>: 使用显示过滤器来选择要捕获的数据包。-n: 不将地址和端口号转换为名称。-N: 不解析主机名。-q: 安静模式,减少输出信息。-r <file>: 从指定的文件读取捕获的数据包。-s <snaplen>: 设置捕获长度(以字节为单位),与 -b 类似但更常用。-t <adddns>: 添加DNS解析到捕获的数据包中。-T <format>: 设置输出格式,如 pcap, json, csv 等。-U: 使用原始模式捕获数据包,不进行任何处理。-v: 增加详细程度,显示更多调试信息。-V: 显示版本信息并退出。sudo dumpcap -i eth0 -w capture.pcap -C 100 -G 3600 -W 10
这个命令会在 eth0 接口上捕获数据包,写入 capture.pcap 文件,每个文件最大100MB,每小时轮转一次,最多保留10个文件。
dumpcap 通常需要超级用户权限,因为它需要访问网络接口。更多详细的参数和用法可以参考 dumpcap 的手册页:
man dumpcap
希望这些信息对你有所帮助!如果有其他问题,请随时提问。