Dumpcap命令行参数详解（Debian版）

dumpcap 是 Wireshark 套件中的一个命令行工具，用于捕获网络数据包。以下是一些常用的 dumpcap 命令行参数及其解释：

基本参数

1. -i

   • 指定要捕获数据包的网络接口。
   • 例如：-i eth0

2. -w

   • 将捕获的数据包写入指定的文件。
   • 例如：-w capture.pcap

3. -C

   • 设置每个捕获文件的最大大小（以 MB 为单位）。
   • 例如：-C 100 表示每个文件最大为 100 MB。

4. -G

   • 设置捕获文件的轮转时间间隔（以秒为单位）。
   • 例如：-G 3600 表示每小时生成一个新的文件。

5. -W

   • 设置要保留的最大捕获文件数量。
   • 例如：-W 10 表示最多保留 10 个文件。

过滤参数

1. -f

   • 使用 BPF（Berkeley Packet Filter）语法指定过滤器表达式。
   • 例如：-f "port 80" 只捕获 HTTP 流量。

2. -R

   • 在读取 pcap 文件时应用过滤器表达式。
   • 例如：-R "http.request.method == 'GET'" 只显示 GET 请求。

高级参数

1. -s

   • 设置捕获数据包的最大长度（以字节为单位）。
   • 默认值通常是 65535 字节，但可以设置为更小的值以节省空间。
   • 例如：-s 1500

2. -n

   • 不将地址和端口转换为名称。
   • 可以提高捕获速度。

3. -N

   • 不解析协议。
   • 适用于需要原始数据包的场景。

4. -V

   • 启用详细模式，输出更多调试信息。

5. -q

   • 安静模式，减少输出信息。

示例命令

• 捕获所有流量并保存到 capture.pcap 文件中：

  dumpcap -i eth0 -w capture.pcap
  

• 捕获 HTTP 流量并保存到 http_capture.pcap 文件中：

  dumpcap -i eth0 -f "port 80" -w http_capture.pcap
  

• 捕获前 1000 个数据包并保存到 sample_capture.pcap 文件中：

  dumpcap -i eth0 -c 1000 -w sample_capture.pcap
  

• 捕获并实时显示过滤后的流量：

  dumpcap -i eth0 -f "tcp port 22" -n -V
  

注意事项

• 确保你有足够的权限来捕获网络数据包，通常需要 root 权限。
• 使用 -w 参数时，确保目标文件路径是可写的。
• 过滤器表达式需要根据具体需求进行调整。

通过这些参数，你可以灵活地控制 dumpcap 的行为，以满足不同的捕获和分析需求。