dumpcap 是 Wireshark 套件中的一个命令行工具,用于捕获网络数据包。以下是一些常见的 dumpcap 用法:
捕获所有接口的数据包
dumpcap -i any
捕获特定接口的数据包
dumpcap -i eth0
设置捕获文件的最大大小
dumpcap -C 1000 -w capture.pcap
这将限制每个捕获文件的大小为 1000 MB。
设置捕获文件的命名模式
dumpcap -w capture_%d.pcap
这将使用 %d 作为文件编号的占位符。
设置捕获时间限制
dumpcap -G 60 -W 10 -w capture.pcap
这将每 60 秒创建一个新的捕获文件,并且最多保留 10 个文件。
捕获特定协议的数据包
dumpcap -i eth0 -Y "tcp port 80"
这将只捕获通过 TCP 端口 80 的数据包。
捕获特定源或目标 IP 的数据包
dumpcap -i eth0 -Y "src host 192.168.1.1"
dumpcap -i eth0 -Y "dst host 192.168.1.1"
捕获特定 MAC 地址的数据包
dumpcap -i eth0 -Y "ether host 00:11:22:33:44:55"
捕获特定 VLAN ID 的数据包
dumpcap -i eth0 -Y "vlan id 100"
捕获特定以太网类型的数据包
dumpcap -i eth0 -Y "ether proto 0x0800"
使用过滤器表达式
dumpcap -i eth0 -Y "tcp portrange 80-88"
这将捕获 TCP 端口在 80 到 88 之间的数据包。
设置捕获缓冲区大小
dumpcap -B 10485760 -w capture.pcap
这将设置捕获缓冲区大小为 10 MB。
设置捕获接口的 promiscuous 模式
dumpcap -i eth0 -p
这将启用 promiscuous 模式,允许捕获所有经过接口的数据包。
设置捕获接口的混杂模式
dumpcap -i eth0 -P
这将启用混杂模式,允许捕获所有经过接口的数据包(与 promiscuous 模式相同)。
设置捕获接口的带宽限制
dumpcap -i eth0 -b 1000000
这将设置捕获接口的带宽限制为 1 Mbps。
设置捕获接口的采样率
dumpcap -i eth0 -s 1000
这将设置捕获接口的采样率为每秒 1000 个数据包。
-w 选项指定输出文件时,确保路径是可写的。-C 和 -W 选项时,确保磁盘空间足够。通过这些常见的用法,你可以灵活地使用 dumpcap 来捕获和分析网络数据包。