dumpcap 是 Wireshark 套件中的一個命令行工具���,用于捕獲網絡數據包��。以下是一些常用的 dumpcap 命令行參數及其詳解:
基本參數
-
-i
-
-w
-
-C
- 設置每個捕獲文件的最大大?����。ㄒ?MB 為單位)����。
-
-K
- 設置捕獲數據包時的最大長度(即 snap length)��,超過此長度的數據包將被截斷�。
-
-G
-
-W
-
-q
-
-v
-
-vv
- 更詳細的模式����,進一步增加輸出信息�����。
-
-n
- 不嘗試將地址和端口名稱解析為名稱���,而是使用數字形式���。
-
-nn
高級參數
-
-B
- 設置緩沖區大?。ㄒ?MB 為單位)���,用于存儲捕獲的數據包�。
-
-e
-
-E =…
-
-f
- 使用 BPF(Berkeley Packet Filter)語法指定捕獲過濾器�����。
-
-I
- 使用混雜模式捕獲數據包���,即使數據包不是發給本機的也會捕獲�。
-
-l
-
-M
- 設置時間戳格式(例如��,
asc 表示 ASCII 格式����,rfc3339 表示 RFC 3339 格式)�����。
-
-R
-
-s
- 設置捕獲數據包時的最大長度(即 snap length)����,超過此長度的數據包將被截斷�����。
-
-t
-
-T
- 設置輸出文件的格式(例如����,
pcap����、csv����、json 等)���。
示例
dumpcap -i eth0 -w capture.pcap -C 100 -K 65535 -G 3600 -W 10 -q
這個命令會在 eth0 接口上捕獲數據包�,寫入 capture.pcap 文件��,每個文件最大 100 MB�����,最大數據包長度 65535 字節�,每小時輪轉一次文件�����,最多保留 10 個文件��,并且在安靜模式下運行���。
希望這些參數能幫助你更好地使用 dumpcap 進行網絡數據包捕獲�����。如果有更多問題���,請隨時提問��!
