dumpcap 是 Wireshark 套件中的一個命令行工具�,用于捕獲網絡數據包�����。以下是一些常用的 dumpcap 命令行參數:
基本參數
-
-i
指定要捕獲數據包的網絡接口����。
-
-w
將捕獲的數據包寫入指定的文件中�����。
-
-C
設置每個捕獲文件的最大大?���。ㄒ?MB 為單位)����。
-
-K
在達到文件大小限制時自動創建新的捕獲文件�����。
-
-G
設置捕獲文件的輪轉間隔(以秒為單位)��。
-
-W
設置要創建的最大捕獲文件數量�����。
-
-r
讀取已存在的 pcap 文件并顯示其內容�。
-
-n
不嘗試將地址和端口轉換為名稱�����。
-
-nn
不進行任何名稱解析��。
-
-N
限制捕獲的數據包數量�����。
-
-q
安靜模式����,減少輸出信息����。
-
-v
增加詳細程度�����。
-
-vv
更詳細的輸出����。
-
-vvv
最詳細的輸出�。
高級參數
-
-B
設置每個捕獲文件的最大字節數��。
-
-E [:]=…
設置加密選項�����。
-
-F
使用 Berkeley Packet Filter (BPF) 過濾器來捕獲特定的數據包����。
-
-I
以混雜模式運行接口�。
-
-l
允許在捕獲過程中記錄日志���。
-
-m
使用指定的映射文件來解析協議字段���。
-
-M
使用指定的映射文件來解析協議字段(與 -m 類似�,但用于不同的目的)����。
-
-P
不將數據包寫入磁盤�����,只顯示在終端上���。
-
-s
設置捕獲數據包的最大長度(以字節為單位)�����。
-
-T
指定輸出文件的格式(如 pcapng��、csv 等)����。
示例
-
捕獲所有接口上的數據包并保存到 capture.pcap 文件中:
sudo dumpcap -i any -w capture.pcap
-
使用 BPF 過濾器只捕獲 HTTP 請求:
sudo dumpcap -i eth0 -w http_requests.pcap 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]>>4)<<2)) != 0)'
-
捕獲前 100 個數據包并顯示在終端上:
sudo dumpcap -i eth0 -c 100 -v
請注意�����,某些參數可能需要 root 權限才能正常工作���。在使用 dumpcap 時����,請確保了解每個參數的作用�����,并根據需要進行適當的配置���。
