dumpcap 是 Wireshark 套件中的一个命令行工具,用于捕获网络流量。以下是一些常用的 dumpcap 命令行参数:
-i <interface>: 指定要捕获流量的网络接口。
-w <file>: 将捕获的数据包写入指定的文件中,通常以 .pcap 或 .pcapng 格式保存。
-b <snaplen>: 设置捕获数据包的最大长度(以字节为单位)。默认值通常是 65535 字节。
-B <buffers>: 设置用于存储捕获数据包的缓冲区数量。每个缓冲区的大小由 -s 参数指定。
-s <snaplen>: 设置捕获数据包时的快照长度(即捕获数据包的最大长度)。如果设置为 0,则捕获整个数据包。
-c <count>: 指定要捕获的数据包数量。当达到指定数量时,dumpcap 将自动停止捕获。
-G <seconds>: 设置捕获时间间隔(以秒为单位),用于生成新的文件。例如,-G 3600 表示每小时生成一个新的文件。
-W <filecount>: 设置生成的文件的最大数量。当达到指定数量时,dumpcap 将自动覆盖最早的文件。
-q: 安静模式,减少输出信息。
-v: 详细模式,显示更多输出信息。
-n: 不将地址和端口号转换为名称。
-nn: 不将地址和端口号转换为名称,也不使用数字表示法。
-N: 不捕获广播和多播数据包。
-R <bpf filter>: 使用 Berkeley Packet Filter (BPF) 语法设置过滤器,只捕获符合过滤条件的数据包。
-e: 显示链路层头部信息。
-E <option>=<value>: 设置文件输出选项,例如 -E separator=, 将输出文件的分隔符设置为逗号。
这些参数可以组合使用,以满足不同的捕获需求。要查看完整的参数列表,请参阅 dumpcap 的手册页(通过运行 man dumpcap 命令)。