Linux下dumpcap有哪些参数

dumpcap 是 Wireshark 套件中的一个命令行工具，用于捕获网络数据包。以下是一些常用的 dumpcap 参数：

基本参数

1. -i

   • 指定要捕获数据包的网络接口。

2. -w

   • 将捕获的数据包写入指定的文件中。

3. -C

   • 设置每个捕获文件的最大大小（以 MB 为单位）。

4. -G

   • 设置捕获文件的轮转间隔时间（以秒为单位）。

5. -W

   • 设置最大保留的捕获文件数量。

6. -q

   • 安静模式，减少输出信息。

7. -v

   • 详细模式，增加输出信息。

8. -vv

   • 更详细的模式。

9. -vvv

   • 最详细的模式。

过滤参数

1. -f

   • 使用 BPF（Berkeley Packet Filter）语法指定捕获过滤器。

2. -F

   • 从文件中读取 BPF 过滤器表达式。

时间参数

1. -a

   • 设置捕获数据包的最大长度（以字节为单位）。

2. -B

   • 设置 BPF 缓冲区的大小（以 KB 为单位）。

3. -Z

   • 设置捕获文件的权限掩码。

其他参数

1. -K

   • 启用密钥日志记录（用于解密 HTTPS 流量）。

2. -I

   • 使用混杂模式捕获数据包。

3. -n

   • 不将地址和端口转换为名称。

4. -N

   • 不解析协议。

5. -R

   • 从文件中读取捕获过滤器表达式。

6. -S

   • 设置超时时间（以秒为单位），超过此时间未捕获到数据包则退出。

7. -T

   • 设置输出文件的格式（如 pcap、json 等）。

8. -e

   • 显示链路层头部信息。

9. -E =

   • 设置捕获文件的字段值（如时间戳格式）。

10. -G

    • 设置捕获文件的轮转间隔时间（以秒为单位）。

示例命令

dumpcap -i eth0 -w capture.pcap -C 100 -G 3600 -W 10 -q

这个命令会在 eth0 接口上捕获数据包，并将它们写入 capture.pcap 文件中，每个文件最大 100MB，每小时轮转一次，最多保留 10 个文件，并且运行在安静模式下。

请注意，dumpcap 的参数可能会随着版本的更新而有所变化，建议查看最新的官方文档或使用 dumpcap --help 获取最准确的信息。