Dumpcap命令行参数有哪些用法 - 问答

dumpcap 是 Wireshark 套件中的一个命令行工具，用于捕获网络数据包。以下是一些常用的 dumpcap 命令行参数及其用法：

-i
- 指定要捕获数据包的网络接口。
- 例如：dumpcap -i eth0
-w
- 指定捕获数据包的输出文件名。
- 例如：dumpcap -i eth0 -w capture.pcap
-C
- 设置每个捕获文件的最大大小（以 MB 为单位）。
- 例如：dumpcap -i eth0 -w capture.pcap -C 100
-G
- 设置捕获文件的轮转时间间隔（以秒为单位）。
- 例如：dumpcap -i eth0 -w capture_%Y-%m-%d_%H-%M-%S.pcap -G 3600
-K
- 启用“keep alive”模式，防止因长时间无活动而断开连接。
- 例如：dumpcap -i eth0 -w capture.pcap -K

-B
- 设置缓冲区大小（以 MB 为单位），用于存储捕获的数据包。
- 例如：dumpcap -i eth0 -w capture.pcap -B 256
-e
- 捕获以太网帧的链路层头部信息。
- 例如：dumpcap -i eth0 -w capture.pcap -e
-E <bpf_filter>
- 使用 Berkeley Packet Filter (BPF) 表达式过滤数据包。
- 例如：dumpcap -i eth0 -w capture.pcap -E "tcp port 80"
-f
- 指定输出文件的格式（如 pcapng、pcap 等）。
- 例如：dumpcap -i eth0 -w capture.pcapng -f pcapng
-n
- 不将地址和端口转换为名称，直接显示 IP 地址和端口号。
- 例如：dumpcap -i eth0 -w capture.pcap -n
-N
- 不解析协议层，直接显示原始数据包内容。
- 例如：dumpcap -i eth0 -w capture.pcap -N
-q
- 安静模式，减少输出信息。
- 例如：dumpcap -i eth0 -w capture.pcap -q
-r
- 读取已有的 pcap 文件并显示其内容。
- 例如：dumpcap -r capture.pcap
-t
- 设置时间戳类型（如 abs、rel、dlt 等）。
- 例如：dumpcap -i eth0 -w capture.pcap -t abs
-T
- 设置输出数据的格式（如 json、csv 等）。
- 例如：dumpcap -i eth0 -w capture.pcap -T json

以下是一个综合使用多个参数的示例：

dumpcap -i eth0 -w capture_%Y-%m-%d_%H-%M-%S.pcap -C 100 -G 3600 -e -E "tcp port 80" -n -q

这个命令会在 eth0 接口上捕获数据包，每 100MB 或每小时生成一个新的 pcap 文件，捕获 TCP 端口 80 的数据包，显示以太网帧的链路层头部信息，不将地址和端口转换为名称，并且以安静模式运行。

通过这些参数，你可以灵活地控制 dumpcap 的行为，以满足不同的捕获需求。

0 赞

0 踩