ubuntu dumpcap参数详解

dumpcap 是 Wireshark 套件中的一个命令行工具，用于捕获网络数据包。以下是一些常用的 dumpcap 参数及其详解：

基本参数

1. -i

   • 指定要捕获数据包的网络接口。
   • 例如：dumpcap -i eth0

2. -w

   • 将捕获的数据包写入指定的文件。
   • 例如：dumpcap -i eth0 -w capture.pcap

3. -C

   • 设置每个捕获文件的最大大小（以 MB 为单位）。
   • 例如：dumpcap -i eth0 -w capture.pcap -C 100

4. -G

   • 设置捕获文件的轮转时间间隔（以秒为单位）。
   • 例如：dumpcap -i eth0 -w capture_%Y-%m-%d_%H-%M-%S.pcap -G 3600

5. -K

   • 启用“keep alive”模式，防止因长时间无活动而断开连接。

6. -q

   • 安静模式，减少输出信息。

7. -v

   • 详细模式，显示更多调试信息。

高级参数

1. -B

   • 设置缓冲区大小（以 MB 为单位），用于存储捕获的数据包。
   • 例如：dumpcap -i eth0 -B 256

2. -e

   • 包括以太网帧的头部信息。

3. -E =

   • 设置捕获过滤器或显示过滤器。
   • 例如：dumpcap -i eth0 -E frame.len==1500

4. -f

   • 使用 BPF（Berkeley Packet Filter）语法指定捕获过滤器。
   • 例如：dumpcap -i eth0 -f "port 80"

5. -n

   • 不将地址和端口转换为名称，保持原始数值。

6. -N

   • 不解析协议层，只捕获原始数据包。

7. -r

   • 读取已有的 pcap 文件并显示其内容。

8. -s

   • 设置捕获数据包的最大长度（以字节为单位）。
   • 例如：dumpcap -i eth0 -s 65535

9. -t

   • 设置时间戳格式。
   • 例如：dumpcap -i eth0 -t ad

10. -T

    • 设置输出文件格式。
    • 例如：dumpcap -i eth0 -w capture.pcapng -T pcapng

示例

• 捕获所有通过 eth0 接口的数据包并保存到 capture.pcap 文件中：

  dumpcap -i eth0 -w capture.pcap
  

• 捕获 eth0 接口上端口 80 的数据包并保存到 capture_port80.pcap 文件中：

  dumpcap -i eth0 -f "port 80" -w capture_port80.pcap
  

• 捕获 eth0 接口上的数据包，每个文件最大 100MB，每小时轮转一次：

  dumpcap -i eth0 -w capture_%Y-%m-%d_%H-%M-%S.pcap -C 100 -G 3600
  

通过这些参数，你可以灵活地控制 dumpcap 的行为，以满足不同的捕获需求。更多详细信息和选项，可以参考 dumpcap 的手册页（通过 man dumpcap 查看）。