linux

dumpcap命令行参数详解

小樊
34
2025-06-01 15:17:05
栏目: 编程语言

dumpcap 是 Wireshark 套件中的一个命令行工具,用于捕获网络数据包。以下是一些常用的 dumpcap 命令行参数及其详解:

基本参数

  1. -i

    • 指定要捕获数据包的网络接口。
  2. -w

    • 将捕获的数据包写入指定的文件中。
  3. -C

    • 设置每个捕获文件的最大大小(以 MB 为单位)。
  4. -K

    • 设置捕获数据包时的最大长度(即 snap length),超过此长度的数据包将被截断。
  5. -G

    • 设置捕获文件的轮转间隔(以秒为单位)。
  6. -W

    • 设置最大保留的捕获文件数量。
  7. -q

    • 安静模式,减少输出信息。
  8. -v

    • 详细模式,增加输出信息。
  9. -vv

    • 更详细的模式,进一步增加输出信息。
  10. -n

    • 不尝试将地址和端口名称解析为名称,而是使用数字形式。
  11. -nn

    • 不进行任何名称解析,包括协议名称。

高级参数

  1. -B

    • 设置缓冲区大小(以 MB 为单位),用于存储捕获的数据包。
  2. -e

    • 包括链路层头部信息。
  3. -E =

    • 设置捕获过滤器表达式。
  4. -f

    • 使用 BPF(Berkeley Packet Filter)语法指定捕获过滤器。
  5. -I

    • 使用混杂模式捕获数据包,即使数据包不是发给本机的也会捕获。
  6. -l

    • 在每次写入新文件时在终端打印一条消息。
  7. -M

    • 设置时间戳格式(例如,asc 表示 ASCII 格式,rfc3339 表示 RFC 3339 格式)。
  8. -R

    • 从指定的文件中读取捕获过滤器表达式。
  9. -s

    • 设置捕获数据包时的最大长度(即 snap length),超过此长度的数据包将被截断。
  10. -t

    • 在输出文件名中添加目标地址。
  11. -T

    • 设置输出文件的格式(例如,pcapcsvjson 等)。

示例

dumpcap -i eth0 -w capture.pcap -C 100 -K 65535 -G 3600 -W 10 -q

这个命令会在 eth0 接口上捕获数据包,写入 capture.pcap 文件,每个文件最大 100 MB,最大数据包长度 65535 字节,每小时轮转一次文件,最多保留 10 个文件,并且在安静模式下运行。

希望这些参数能帮助你更好地使用 dumpcap 进行网络数据包捕获。如果有更多问题,请随时提问!

0
看了该问题的人还看了