ubuntu中dumpcap参数有哪些

dumpcap 是 Wireshark 套件中的一个命令行工具，用于捕获网络数据包。以下是一些常用的 dumpcap 参数：

基本参数

1. -i, --interface=INTERFACE

   • 指定要捕获数据包的网络接口。

2. -w, --file=FILE

   • 将捕获的数据包写入指定的文件。

3. -C, --maxsize=SIZE

   • 设置每个捕获文件的最大大小（以MB为单位）。

4. -G, --rotate-size=SIZE

   • 当文件达到指定大小时，自动创建新的文件。

5. -W, --rotate-count=COUNT

   • 保留的旧文件数量。

6. -a, --snaplen=LEN

   • 设置捕获数据包的最大长度（以字节为单位）。

7. -n, --no-promisc

   • 不使用混杂模式，只捕获发往本机的数据包。

8. -N, --stop

   • 在捕获到指定数量的数据包后停止。

9. -q, --quiet

   • 减少输出信息，使运行更安静。

10. -v, --verbose

    • 增加输出信息，显示更多调试细节。

11. -t, --timestamp

    • 在输出中包含时间戳。

12. -T, --type=FORMAT

    • 指定输出文件的格式（如 pcapng、csv 等）。

高级参数

1. -B, --buffer-size=SIZE

   • 设置缓冲区大小（以KB为单位）。

2. -E, --encoding=UTF-8

   • 使用 UTF-8 编码输出文件名。

3. -F, --filter=FILTER

   • 应用 BPF（Berkeley Packet Filter）过滤器来捕获特定的数据包。

4. -I, --immediate

   • 立即开始捕获，而不是等待接口启动。

5. -k, --keep-alive

   • 在长时间运行的捕获中定期发送保持活动信号。

6. -l, --log=FILE

   • 将日志信息写入指定的文件。

7. -m, --mtu=MTU

   • 设置网络接口的最大传输单元（MTU）。

8. -O, --no-locking

   • 禁用文件锁定机制。

9. -P, --print-packets

   • 打印捕获的数据包到标准输出。

10. -r, --read-from-file=FILE

    • 从指定的文件读取已捕获的数据包。

11. -s, --snapshot-length=LEN

    • 同 -a 参数，设置捕获数据包的最大长度。

12. -U, --use-ipv6

    • 使用 IPv6 地址进行捕获。

示例命令

sudo dumpcap -i eth0 -w capture.pcapng -C 100 -G 10 -n -v

这个命令会在 eth0 接口上捕获数据包，将它们保存到 capture.pcapng 文件中，每个文件最大 100MB，最多保留 10 个旧文件，并且输出详细信息。

请注意，某些参数可能需要 root 权限才能正常工作。在使用 dumpcap 时，请确保你有足够的权限，并且了解每个参数的作用，以避免不必要的错误或安全风险。