Linux下dumpcap命令參數有哪些

dumpcap 是一個在 Linux 下廣泛使用的命令行工具，用于捕獲網絡數據包。以下是一些常用的 dumpcap 命令參數：

基本參數

1. -i

   • 指定要捕獲數據包的網絡接口。

2. -w

   • 將捕獲的數據包寫入指定的文件中。

3. -c

   • 設置捕獲的最大數據包數量。

4. -G

   • 設置捕獲文件的輪轉間隔（以秒為單位）。

5. -C

   • 設置每個捕獲文件的最大大?。ㄒ?MB 為單位）。

6. -B

   • 設置每個捕獲文件的最大字節數。

7. -n

   • 不解析協議名稱，只顯示數字協議號。

8. -N

   • 不解析以太網地址，只顯示數字地址。

9. -r

   • 讀取之前保存的捕獲文件并顯示其內容。

10. -V

    • 顯示 dumpcap 的版本信息。

高級參數

1. -s

   • 設置捕獲數據包的最大長度（以字節為單位）。默認值通常是 65535 字節。

2. -e

   • 捕獲以太網幀中的鏈路層頭部信息。

3. -E <bpf_filter>

   • 使用 Berkeley Packet Filter (BPF) 表達式來過濾數據包。

4. -f

   • 指定輸出文件的格式，如 pcap、pcapng 等。

5. -I

   • 使用混雜模式捕獲數據包，即使數據包不是發給本機的也會捕獲。

6. -K

   • 在捕獲過程中實時顯示統計信息。

7. -l

   • 在捕獲過程中允許用戶輸入命令。

8. -m

   • 使用指定的映射文件來解析協議字段。

9. -M

   • 設置網絡接口的最大傳輸單元 (MTU)。

10. -P

    • 在捕獲過程中保持網絡接口處于混雜模式。

示例命令

# 捕獲 eth0 接口上的前 100 個數據包，并保存到 capture.pcap 文件中
sudo dumpcap -i eth0 -c 100 -w capture.pcap

# 使用 BPF 過濾器只捕獲 TCP 數據包
sudo dumpcap -i eth0 -w tcp_capture.pcap -E 'tcp'

# 捕獲所有接口上的數據包，并實時顯示統計信息
sudo dumpcap -i any -K

請注意，某些參數可能需要 root 權限才能使用。在使用 dumpcap 時，請確保了解每個參數的作用，并根據實際需求進行配置。