dumpcap 是 Wireshark 套件中的一個命令行工具��,用于捕獲網絡流量��。以下是一些常用的 dumpcap 命令行參數:
基本參數
-
-i
-
-w
-
-C
- 設置每個捕獲文件的最大大?����。ㄒ?MB 為單位)���。
-
-K
- 在達到文件大小限制時自動創建新的捕獲文件����。
-
-G
-
-W
-
-n
-
-N
-
-r
高級參數
-
-B
-
-e
-
-E =…
-
-f
- 使用 BPF 過濾器表達式來選擇性地捕獲流量��。
-
-I
-
-l
-
-M
- 設置捕獲文件的類型(如 pcapng���、pcap 等)��。
-
-P
- 不在捕獲開始時暫停�����,立即開始捕獲����。
-
-q
-
-s
- 設置捕獲的最大長度(以字節為單位)�����,默認值為 262144 字節(256 KB)���。
-
-t
- 設置時間戳的格式(如 abs�、rel����、dlt 等)���。
-
-T
- 設置輸出文件的格式(如 pcap�、json����、csv 等)��。
示例命令
sudo dumpcap -i eth0 -w capture.pcapng -C 100 -G 3600 -W 10
這個命令會在 eth0 接口上捕獲流量��,保存到 capture.pcapng 文件中����,每個文件最大 100 MB�����,每小時輪轉一次�����,最多保留 10 個文件�����。
注意事項
- 使用
dumpcap 通常需要 root 權限��,因為它需要訪問網絡接口���。
- 確保你的系統上已經安裝了 Wireshark 套件����,因為
dumpcap 是其中的一部分��。
更多詳細的參數和用法可以通過運行 man dumpcap 或查看 Wireshark 的官方文檔來獲取��。
