Linux中dumpcap有哪些参数

dumpcap 是 Wireshark 套件中的一个命令行工具，用于捕获网络流量。以下是一些常用的 dumpcap 参数：

基本参数

1. -i

   • 指定要捕获流量的网络接口。

2. -w

   • 将捕获的数据包写入指定的文件中。

3. -C

   • 设置每个捕获文件的最大大小（以MB为单位）。

4. -G

   • 设置自动分割捕获文件的间隔时间（以秒为单位）。

5. -W

   • 设置自动分割捕获文件的最大数量。

6. -r

   • 读取已存在的 .pcap 文件并显示其内容。

7. -n

   • 不将地址和端口号转换为名称。

8. -nn

   • 不进行任何名称解析。

9. -N

   • 在捕获开始时显示统计信息。

10. -q

    • 安静模式，减少输出信息。

11. -v

    • 详细模式，增加输出信息。

12. -vv

    • 更详细的模式。

13. -vvv

    • 最详细的模式。

高级参数

1. -B

   • 设置捕获数据包的最大长度（以字节为单位）。

2. -s

   • 同 -B，但也可以用于设置捕获特定长度的数据包。

3. -e

   • 显示链路层头部信息。

4. -E =…

   • 设置捕获时的加密选项。

5. -F

   • 使用伯克利数据包过滤器（BPF）来过滤捕获的数据包。

6. -I

   • 使用混杂模式捕获流量。

7. -K

   • 在捕获过程中实时解密数据包（如果启用了加密）。

8. -l

   • 在捕获文件中插入时间戳。

9. -M

   • 设置网络接口的最大传输单元（MTU）。

10. -P

    • 不等待用户输入，自动开始捕获。

11. -t

    • 在捕获文件名中添加日期和时间。

12. -T

    • 指定输出文件的格式（如 pcap, csv, json 等）。

示例命令

# 捕获eth0接口上的所有流量，并保存到capture.pcap文件中
dumpcap -i eth0 -w capture.pcap

# 捕获eth0接口上的流量，每个文件最大100MB，每5分钟分割一次，最多保存10个文件
dumpcap -i eth0 -w capture_%Y%m%d_%H%M%S.pcap -C 100 -G 300 -W 10

# 捕获eth0接口上的流量，不进行名称解析，详细模式
dumpcap -i eth0 -n -v

注意事项

• 使用 dumpcap 需要有足够的权限，通常需要以 root 用户运行。
• 在生产环境中使用时要小心，避免捕获敏感信息。

更多详细的参数和用法可以参考 dumpcap 的手册页（通过 man dumpcap 查看）。