Linux下dumpcap的参数有哪些

dumpcap 是 Wireshark 套件中的一个命令行工具，用于捕获网络数据包。以下是一些常用的 dumpcap 参数：

基本参数

1. -i

   • 指定要捕获数据包的网络接口。

2. -w

   • 将捕获的数据包写入指定的文件中。

3. -C

   • 设置每个捕获文件的最大大小（以 MB 为单位）。当达到这个大小时，会自动创建一个新的文件。

4. -G

   • 设置捕获文件的轮转间隔时间（以秒为单位）。当达到这个时间间隔时，会自动创建一个新的文件。

5. -W

   • 设置要保留的最大捕获文件数量。超过这个数量的旧文件将被删除。

6. -r

   • 读取之前保存的捕获文件并显示其内容。

7. -n

   • 不将地址和端口号转换为名称。

8. -N

   • 不解析协议，只捕获原始数据包。

9. -q

   • 安静模式，减少输出信息。

10. -v

    • 增加详细程度，显示更多调试信息。

高级参数

1. -B

   • 设置缓冲区大小（以 MB 为单位），用于存储捕获的数据包。

2. -e

   • 显示链路层头部信息。

3. -E =…

   • 设置捕获过滤器或其他选项的键值对。

4. -f

   • 设置捕获过滤器表达式，用于过滤捕获的数据包。

5. -s

   • 设置捕获数据包的最大长度（以字节为单位）。默认情况下，会捕获整个数据包。

6. -T

   • 设置输出文件的格式，如 pcap, json, csv 等。

7. -U

   • 使用混杂模式捕获数据包，即使数据包不是发给本机的也会捕获。

8. -I

   • 使用混杂模式捕获数据包，并且可以指定接口。

9. -P

   • 设置是否在捕获过程中暂停，等待用户输入继续。

10. -l

    • 在捕获过程中允许日志记录。

示例命令

# 捕获 eth0 接口上的数据包，并保存到 capture.pcap 文件中
dumpcap -i eth0 -w capture.pcap

# 捕获 eth0 接口上的数据包，每个文件最大 100MB，最多保留 5 个文件
dumpcap -i eth0 -C 100 -W 5 -w capture_%d.pcap

# 使用捕获过滤器只捕获 TCP 数据包，并保存到 capture_tcp.pcap 文件中
dumpcap -i eth0 -w capture_tcp.pcap -f "tcp"

这些参数可以帮助你根据需要灵活地配置 dumpcap 的行为。更多详细信息和选项可以参考 dumpcap 的手册页（通过 man dumpcap 查看）。