dumpcap命令行参数详解

dumpcap 是 Wireshark 套件中的一个命令行工具，用于捕获网络数据包。以下是一些常用的 dumpcap 命令行参数及其详解：

基本参数

1. -i

   • 指定要捕获数据包的网络接口。

2. -w

   • 将捕获的数据包写入指定的文件中。

3. -C

   • 设置每个捕获文件的最大大小（以 MB 为单位）。

4. -K

   • 设置捕获数据包时的最大长度（即 snap length），超过此长度的数据包将被截断。

5. -G

   • 设置捕获文件的轮转间隔（以秒为单位）。

6. -W

   • 设置最大保留的捕获文件数量。

7. -q

   • 安静模式，减少输出信息。

8. -v

   • 详细模式，增加输出信息。

9. -vv

   • 更详细的模式，进一步增加输出信息。

10. -n

    • 不尝试将地址和端口名称解析为名称，而是使用数字形式。

11. -nn

    • 不进行任何名称解析，包括协议名称。

高级参数

1. -B

   • 设置缓冲区大小（以 MB 为单位），用于存储捕获的数据包。

2. -e

   • 包括链路层头部信息。

3. -E =…

   • 设置捕获过滤器表达式。

4. -f

   • 使用 BPF（Berkeley Packet Filter）语法指定捕获过滤器。

5. -I

   • 使用混杂模式捕获数据包，即使数据包不是发给本机的也会捕获。

6. -l

   • 在每次写入新文件时在终端打印一条消息。

7. -M

   • 设置时间戳格式（例如，asc 表示 ASCII 格式，rfc3339 表示 RFC 3339 格式）。

8. -R

   • 从指定的文件中读取捕获过滤器表达式。

9. -s

   • 设置捕获数据包时的最大长度（即 snap length），超过此长度的数据包将被截断。

10. -t

    • 在输出文件名中添加目标地址。

11. -T

    • 设置输出文件的格式（例如，pcap、csv、json 等）。

示例

dumpcap -i eth0 -w capture.pcap -C 100 -K 65535 -G 3600 -W 10 -q

这个命令会在 eth0 接口上捕获数据包，写入 capture.pcap 文件，每个文件最大 100 MB，最大数据包长度 65535 字节，每小时轮转一次文件，最多保留 10 个文件，并且在安静模式下运行。

希望这些参数能帮助你更好地使用 dumpcap 进行网络数据包捕获。如果有更多问题，请随时提问！