dumpcap 是 Wireshark 套件中的一个命令行工具,用于捕获网络数据包。以下是一些常用的 dumpcap 命令行参数:
-i <interface>: 指定要捕获数据包的网络接口。-w <file>: 将捕获的数据包写入指定的文件中。-C <size>: 设置每个捕获文件的最大大小(以 MB 为单位)。-G <seconds>: 设置捕获文件的轮转时间间隔(以秒为单位)。-W <files>: 设置最大保留的捕获文件数量。-b <snaplen>: 设置捕获数据包的最大长度(以字节为单位),默认是 262144 字节(256 KB)。-B <count>: 设置缓冲区大小(以千字节为单位),默认是 2000 KB。-e: 显示链路层头部信息。-E <key>=<value>: 设置捕获过滤器或显示过滤器。-f <format>: 设置输出文件的格式(如 pcapng、pcap、csv 等)。-n: 不将地址和端口转换为名称。-N <snaplen>: 设置捕获数据包的最大长度(以字节为单位),与 -b 类似,但用于显示过滤器。-q: 安静模式,减少输出信息。-r <file>: 读取并显示指定文件中的捕获数据包。-s <snaplen>: 设置捕获数据包的最大长度(以字节为单位),与 -b 类似,但用于捕获过滤器。-t <adddate>: 在输出文件名中添加日期和时间戳。-T <type>: 设置输出文件的类型(如 pcapng、pcap、csv 等)。-U: 使用原始模式捕获数据包,不进行任何处理。-v: 增加详细程度,显示更多信息。-V: 显示版本信息。# 捕获 eth0 接口上的数据包,并写入 capture.pcap 文件
dumpcap -i eth0 -w capture.pcap
# 捕获 eth0 接口上的数据包,每个文件最大 100 MB,最多保留 5 个文件
dumpcap -i eth0 -C 100 -W 5 -w capture_%Y%m%d_%H%M%S.pcap
# 捕获 eth0 接口上的数据包,显示链路层头部信息,并将地址和端口转换为名称
dumpcap -i eth0 -e -n -r capture.pcap
这些参数可以帮助你根据需要灵活地配置 dumpcap 的行为。更多详细的参数和选项可以通过运行 dumpcap --help 或查阅相关文档来获取。