dumpcap 是 Wireshark 套件中的一个命令行工具,用于捕获网络数据包。以下是 dumpcap 的基本用法和一些常见选项:
捕获所有接口的数据包
dumpcap -i any
这个命令会捕获所有网络接口上的数据包。
捕获特定接口的数据包
dumpcap -i eth0
这个命令会捕获名为 eth0 的网络接口上的数据包。
将捕获的数据包保存到文件
dumpcap -i eth0 -w capture.pcap
这个命令会将捕获的数据包保存到 capture.pcap 文件中。
-i <interface>: 指定要捕获数据包的网络接口。-w <filename>: 将捕获的数据包保存到指定的文件中。-C <size>: 设置每个捕获文件的最大大小(以 MB 为单位)。-W <count>: 设置要创建的捕获文件的数量。-q: 安静模式,减少输出信息。-v: 详细模式,增加输出信息。-n: 不解析主机名和端口名,直接显示 IP 地址和端口号。-N: 不捕获广播和多播数据包。-s <snaplen>: 设置捕获数据包的最大长度(以字节为单位)。捕获特定接口的前 100 个数据包并保存到文件
dumpcap -i eth0 -c 100 -w capture.pcap
捕获所有接口的数据包,每个文件最大 100MB,最多创建 5 个文件
dumpcap -i any -C 100 -W 5 -w capture_%d.pcap
捕获特定接口的数据包,不解析主机名和端口名
dumpcap -i eth0 -n -w capture.pcap
dumpcap 需要有足够的权限,通常需要 root 权限。通过这些基本用法和选项,你可以灵活地使用 dumpcap 进行网络数据包捕获和分析。