Dumpcap 是 Wireshark 的命令行版本���,用于捕獲�、存儲和分析網絡流量����。在 Debian 系統中��,Dumpcap 提供了多種命令行參數以靈活地控制其捕獲行為�。以下是一些常用的命令行參數及其功能:
基本參數
-i <interface>:指定要捕獲數據包的網絡接口����。-w <file>:將捕獲的數據包寫入指定的文件���。-c <count>:設置捕獲數據包的最大數量�,達到指定數量后自動停止捕獲����。-s <snaplen>:設置捕獲數據包的最大長度(以字節為單位)�。-C <size>:設置每個捕獲文件的最大大?���。ㄒ訫B為單位)�。-G <seconds>:設置捕獲文件的輪轉間隔(以秒為單位)�����。-W <files>:設置最大保留的捕獲文件數量����。
過濾參數
-f <filter expression>:使用 BPF(Berkeley Packet Filter)語法指定過濾表達式����,只捕獲符合條件的數據包�����。-R <file>:從文件中讀取過濾器表達式并應用����。
高級參數
-n:不將地址和端口轉換為名稱���。-N:不解析協議��。-q:安靜模式��,減少輸出信息���。-v:增加詳細程度���。-vv:更詳細的輸出���。-vvv:最詳細的輸出�����。-t <adns>:啟用或禁用DNS解析�����。-T <format>:設置輸出格式���,如 pcap, json, csv 等���。-e:顯示鏈路層頭部信息��。-E <key>=<value>:設置捕獲時的環境變量���。-I:在捕獲開始時打印統計信息�。-K:啟用內核級捕獲�。-l:允許在捕獲過程中使用 Ctrl+C 終止��。-m <mapfile>:使用映射文件來處理特殊字符�。-M <mapfile>:使用映射文件來處理以太網類型字段�。-P <promiscuous mode>:設置混雜模式����。-r <file>:讀取已存在的 .pcap 文件進行分析����。-U:使用原始模式捕獲數據包�����。-X:以十六進制和ASCII格式顯示數據包內容����。
示例命令
sudo dumpcap -i eth0 -w capture.pcap
sudo dumpcap -i eth0 -w capture_tcp80.pcap 'tcp port 80'
sudo dumpcap -i eth0 -w capture_100.pcap -c 100
在使用 Dumpcap 時�,請確保你有足夠的權限���,并且了解每個參數的作用��,以避免不必要的錯誤或安全問題��。
