Linux下dumpcap的常用参数

dumpcap 是 Wireshark 套件中的一个命令行工具，用于捕获网络数据包。以下是一些常用的 dumpcap 参数：

基本参数

1. -i

   • 指定要捕获数据包的网络接口。
   • 例如：-i eth0

2. -w

   • 将捕获的数据包写入指定的文件中。
   • 例如：-w capture.pcap

3. -C

   • 设置每个捕获文件的最大大小（以 MB 为单位）。
   • 例如：-C 1000 表示每个文件最大 1000 MB。

4. -G

   • 设置捕获文件的轮转间隔时间（以秒为单位）。
   • 例如：-G 3600 表示每小时创建一个新的文件。

5. -W

   • 设置最大保留的捕获文件数量。
   • 例如：-W 10 表示最多保留 10 个文件。

高级参数

1. -B

   • 设置内存缓冲区的大小（以 MB 为单位）。
   • 例如：-B 256 表示使用 256 MB 的缓冲区。

2. -n

   • 不将地址和端口号转换为名称。
   • 例如：-n 可以提高捕获速度。

3. -nn

   • 不将任何协议或服务名称转换为名称。
   • 例如：-nn 进一步提高性能。

4. -N

   • 不解析网络层协议头。
   • 例如：-N 可以减少 CPU 使用。

5. -q

   • 安静模式，减少输出信息。
   • 例如：-q 只显示错误信息。

6. -r

   • 读取已存在的 pcap 文件并显示其内容。
   • 例如：-r capture.pcap

7. -V

   • 显示版本信息并退出。

8. -h

   • 显示帮助信息。

过滤参数

1. -f

   • 使用 BPF（Berkeley Packet Filter）语法设置过滤器。
   • 例如：-f "tcp port 80" 只捕获 HTTP 流量。

2. -F

   • 从文件中读取过滤器表达式。
   • 例如：-F filters.txt

其他参数

1. -t

   • 设置时间戳的格式。
   • 例如：-t ad 使用绝对日期和时间。

2. -T

   • 设置输出文件的格式。
   • 例如：-T pcapng 输出为 pcapng 格式。

3. -e

   • 显示链路层头部信息。

4. -E =

   • 设置加密选项（例如，用于 TLS 解密）。

示例命令

dumpcap -i eth0 -w capture.pcap -C 1000 -G 3600 -W 10 -n -nn -q

这个命令会在 eth0 接口上捕获数据包，每个文件最大 1000 MB，每小时轮转一次，最多保留 10 个文件，并且不显示地址和端口号名称，以提高性能。

希望这些参数对你有所帮助！如果有更多具体需求或问题，请随时提问。