dumpcap 是一个用于捕获网络数据包的命令行工具,它是 Wireshark 套件的一部分。在 Debian 系统下,你可以使用 dumpcap 来捕获和分析网络流量。下面是一些常用的 dumpcap 命令行参数及其解析:
-i <interface>:指定要捕获数据包的网络接口,例如 -i eth0。
-w <file>:将捕获的数据包写入到指定的文件中,例如 -w output.pcap。
-r <file>:从指定的文件中读取数据包,而不是实时捕获,例如 -r input.pcap。
-c <count>:设置捕获数据包的最大数量,达到指定数量后自动停止捕获,例如 -c 1000。
-b <snaplen>:设置捕获数据包的最大长度(以字节为单位),超过该长度的数据包将被截断,例如 -b 65535。
-B <size>:设置缓存大小(以 MB 为单位),当缓存满时,dumpcap 会将数据包写入到输出文件中,例如 -B 100。
-t <type>:设置时间戳类型,例如 -t adtsync(绝对时间戳同步)或 -t sync(相对时间戳同步)。
-e:显示链路层头部信息。
-E <key>=<value>:设置 BPF 过滤器,例如 -E host=example.com。
-G <seconds>:设置捕获间隔(以秒为单位),例如 -G 60,每隔 60 秒捕获一次数据包。
-q:安静模式,减少输出信息。
-n:不将地址和端口号转换为名称,例如 -n。
-N:不捕获广播和多播数据包。
-V:显示版本信息。
这些参数可以组合使用,以满足你的需求。例如,以下命令将在 eth0 接口上捕获最多 1000 个数据包,并将它们保存到 output.pcap 文件中:
dumpcap -i eth0 -c 1000 -w output.pcap
更多关于 dumpcap 的信息和参数,请参考其官方文档或使用 man dumpcap 查看手册页。