Ubuntu Dumpcap支持的高级功能
-C <size>(或-B <bytes>)参数设置每个捕获文件的最大大小(单位:MB或字节),达到限制后自动创建新文件(如-C 100表示每100MB生成一个新文件);-G <seconds>参数设置捕获文件的轮转时间间隔(单位:秒),结合-W <files>可限制最大保留文件数量(如-G 60 -W 5表示每60秒生成一个新文件,最多保留5个);-w <filename_pattern>使用时间戳占位符(如%Y-%m-%d_%H-%M-%S)生成带时间的文件名(如capture_%Y-%m-%d_%H-%M-%S.pcap),便于归档管理;-e参数将捕获的数据包追加到现有文件末尾,而非覆盖原文件(适用于长期持续捕获场景)。-s <snaplen>(或-b <snaplen>)参数设置捕获数据包的最大长度(单位:字节),默认值为65535字节(可调整为更小的值如1500字节,仅捕获以太网帧头部及部分负载,减少存储占用);-c <number>参数设置要捕获的数据包总数(如-c 1000表示捕获1000个数据包后自动停止);-f "<expression>"参数使用Berkeley Packet Filter语法过滤流量(如tcp port 80捕获HTTP流量、udp port 53捕获DNS流量),支持端口、IP地址、协议类型等多种条件组合;-E <field>=<value>参数设置加密相关选项(如SSL/TLS密钥日志路径),用于解密加密流量(需配合Wireshark的解密功能使用)。-T <type>参数指定输出文件的格式(如pcap(传统二进制格式)、pcapng(下一代格式,支持更多元数据)、json(结构化文本格式,便于后续分析));-t <format>参数设置时间戳的输出格式(如iso表示ISO 8601格式(2025-09-23T10:30:00Z)、unixtime表示Unix时间戳(秒级,如1714072200)、koi8-r表示俄语编码格式),满足不同场景的时间显示需求。-b <buffersize>参数设置捕获缓冲区的大小(单位:字节,默认值通常为几MB),在高流量环境下增大缓冲区(如-b 262144设置为256KB)可减少丢包率;-E <extension>参数加载外部扩展库(如自定义协议解析插件),扩展dumpcap的功能(如支持私有协议的捕获与解析);-I参数让指定接口以混杂模式运行(捕获所有经过该接口的流量,而不仅是发送给本机的流量),适用于监控网络中的所有通信(如交换机镜像端口流量捕获);-l参数允许在捕获过程中记录日志(如捕获进度、错误信息),便于排查问题(日志默认输出到终端,可通过重定向到文件保存)。-n参数不将IP地址和端口号转换为域名和服务名称(如192.168.1.1不解析为router.local,80不解析为http),减少DNS查询带来的性能开销(适用于大规模流量捕获);-nn参数进一步禁用所有名称解析(包括MAC地址到厂商名称的转换),仅保留原始数值(如00:1a:2b:3c:4d:5e不解析为Intel),提升捕获效率;-m或-M参数指定映射文件(如ieee802.11.map),自定义协议字段的解析方式(如将无线802.11帧中的subtype字段映射为更易读的Probe Request、Beacon等类型),增强协议分析的准确性。
