dumpcap 是一個用于捕獲網絡流量的命令行工具����,它是 Wireshark 套件的一部分���。在 Debian 系統中�����,你可以使用 dumpcap 來捕獲和分析經過網絡接口的數據包����。以下是一些常用的 dumpcap 命令行參數及其詳解:
基本參數
-
-i, --interface=
- 指定要捕獲數據包的網絡接口��。
- 例如:
-i eth0
-
-w, --file=
- 將捕獲的數據包寫入指定的文件��。
- 例如:
-w capture.pcap
-
-C, --files-per-dump=
- 指定每個捕獲文件的最大大?���。ㄒ?MB 為單位)���。
- 例如:
-C 100 表示每個文件最大為 100MB��。
-
-G, --seconds-per-dump=
- 指定每個捕獲文件的持續時間(以秒為單位)�。
- 例如:
-G 3600 表示每個文件持續 1 小時����。
-
-a, --snaplen=
- 設置捕獲數據包的最大長度(以字節為單位)����。
- 例如:
-a 65535 表示捕獲整個數據包�。
-
-b, --buffer-size=
- 設置緩沖區大?�。ㄒ宰止潪閱挝唬?��,用于存儲捕獲的數據包����。
- 例如:
-b 262144 表示緩沖區大小為 256KB�。
-
-e, --append
- 將捕獲的數據包追加到現有文件中���,而不是覆蓋��。
- 例如:
-e capture.pcap
-
-q, --quiet
- 減少輸出信息�����,使
dumpcap 更安靜�����。
高級參數
-
-n, --no-promisc
- 不使用混雜模式���,只捕獲目的地址為本機的數據包��。
-
-N, --no-ssl-keylog
-
-P, --print-to-stdout
- 將捕獲的數據包直接打印到標準輸出(stdout)����。
-
-r, --read-from-file=
-
-s, --stop
- 在捕獲到指定數量的數據包后停止�����。
- 例如:
-s 1000 表示捕獲 1000 個數據包后停止���。
-
-T, --fields=
- 指定要顯示的字段列表�。
- 例如:
-T fields -e frame.number -e ip.src -e ip.dst
-
-V, --version
-
-h, --help
示例命令
以下是一些常用的 dumpcap 命令示例:
-
捕獲所有接口上的數據包并保存到 capture.pcap 文件中:
sudo dumpcap -i any -w capture.pcap
-
捕獲指定接口 eth0 上的數據包����,每個文件最大 100MB�,持續 1 小時��,并保存到 capture_%Y%m%d_%H%M%S.pcap 文件中:
sudo dumpcap -i eth0 -C 100 -G 3600 -w capture_%Y%m%d_%H%M%S.pcap
-
捕獲指定接口 eth0 上的前 1000 個數據包并打印到標準輸出:
sudo dumpcap -i eth0 -s 1000 -T fields -e frame.number -e ip.src -e ip.dst -q
通過這些參數�,你可以靈活地控制 dumpcap 的行為�����,以滿足不同的捕獲需求�。
