Linux下dumpcap命令参数有哪些

dumpcap 是一个在 Linux 下广泛使用的命令行工具，用于捕获网络数据包。以下是一些常用的 dumpcap 命令参数：

基本参数

1. -i

   • 指定要捕获数据包的网络接口。

2. -w

   • 将捕获的数据包写入指定的文件中。

3. -c

   • 设置捕获的最大数据包数量。

4. -G

   • 设置捕获文件的轮转间隔（以秒为单位）。

5. -C

   • 设置每个捕获文件的最大大小（以 MB 为单位）。

6. -B

   • 设置每个捕获文件的最大字节数。

7. -n

   • 不解析协议名称，只显示数字协议号。

8. -N

   • 不解析以太网地址，只显示数字地址。

9. -r

   • 读取之前保存的捕获文件并显示其内容。

10. -V

    • 显示 dumpcap 的版本信息。

高级参数

1. -s

   • 设置捕获数据包的最大长度（以字节为单位）。默认值通常是 65535 字节。

2. -e

   • 捕获以太网帧中的链路层头部信息。

3. -E <bpf_filter>

   • 使用 Berkeley Packet Filter (BPF) 表达式来过滤数据包。

4. -f

   • 指定输出文件的格式，如 pcap、pcapng 等。

5. -I

   • 使用混杂模式捕获数据包，即使数据包不是发给本机的也会捕获。

6. -K

   • 在捕获过程中实时显示统计信息。

7. -l

   • 在捕获过程中允许用户输入命令。

8. -m

   • 使用指定的映射文件来解析协议字段。

9. -M

   • 设置网络接口的最大传输单元 (MTU)。

10. -P

    • 在捕获过程中保持网络接口处于混杂模式。

示例命令

# 捕获 eth0 接口上的前 100 个数据包，并保存到 capture.pcap 文件中
sudo dumpcap -i eth0 -c 100 -w capture.pcap

# 使用 BPF 过滤器只捕获 TCP 数据包
sudo dumpcap -i eth0 -w tcp_capture.pcap -E 'tcp'

# 捕获所有接口上的数据包，并实时显示统计信息
sudo dumpcap -i any -K

请注意，某些参数可能需要 root 权限才能使用。在使用 dumpcap 时，请确保了解每个参数的作用，并根据实际需求进行配置。