dumpcap 是 Wireshark 套件中的一个命令行工具,用于捕获网络数据包。要进行实时捕获,你可以使用 -i 选项指定要监听的网络接口,并且可以使用一些其他的选项来控制捕获的行为。以下是一个基本的实时捕获命令示例:
dumpcap -i eth0 -w output.pcap
在这个例子中,-i eth0 指定了要捕获数据包的网络接口(这里假设是 eth0),-w output.pcap 指定了捕获的数据包将被写入到 output.pcap 文件中。
如果你想要实时查看捕获的数据包,而不是保存到文件中,你可以使用 -l 选项来让 dumpcap 在每次捕获到一个数据包后自动刷新输出,这样你就可以在命令行界面中实时看到捕获的数据包了。例如:
dumpcap -i eth0 -l -w output.pcap
此外,还有许多其他选项可以用来定制捕获过程,例如:
-B:设置缓冲区大小。-C:当文件大小达到指定值时创建新的文件。-G:设置每隔多少秒创建一个新的捕获文件。-q:安静模式,减少输出信息。-s:设置捕获数据包的最大长度。例如,如果你想要每10秒创建一个新的捕获文件,并且每个文件最大为1GB,你可以使用以下命令:
dumpcap -i eth0 -C 1000000000 -G 10 -w output_%d.pcap
请注意,根据你的操作系统和权限设置,你可能需要以管理员或 root 用户身份运行 dumpcap 才能开始捕获数据包。在某些系统上,你可能需要先安装 Wireshark 套件才能使用 dumpcap。