dumpcap 是 Wireshark 套件中的一個命令行工具����,用于捕獲網絡數據包�����。以下是一些常用的 dumpcap 命令行參數及其用法:
基本參數
-
-i
- 指定要捕獲數據包的網絡接口�。
- 例如:
dumpcap -i eth0
-
-w
- 指定捕獲數據包的輸出文件名����。
- 例如:
dumpcap -i eth0 -w capture.pcap
-
-C
- 設置每個捕獲文件的最大大?�。ㄒ?MB 為單位)�����。
- 例如:
dumpcap -i eth0 -w capture.pcap -C 100
-
-G
- 設置捕獲文件的輪轉時間間隔(以秒為單位)����。
- 例如:
dumpcap -i eth0 -w capture_%Y-%m-%d_%H-%M-%S.pcap -G 3600
-
-K
- 啟用“keep alive”模式�����,防止因長時間無活動而斷開連接�。
- 例如:
dumpcap -i eth0 -w capture.pcap -K
高級參數
-
-B
- 設置緩沖區大?���。ㄒ?MB 為單位)��,用于存儲捕獲的數據包��。
- 例如:
dumpcap -i eth0 -w capture.pcap -B 256
-
-e
- 捕獲以太網幀的鏈路層頭部信息�。
- 例如:
dumpcap -i eth0 -w capture.pcap -e
-
-E <bpf_filter>
- 使用 Berkeley Packet Filter (BPF) 表達式過濾數據包�����。
- 例如:
dumpcap -i eth0 -w capture.pcap -E "tcp port 80"
-
-f
- 指定輸出文件的格式(如 pcapng���、pcap 等)��。
- 例如:
dumpcap -i eth0 -w capture.pcapng -f pcapng
-
-n
- 不將地址和端口轉換為名稱��,直接顯示 IP 地址和端口號�。
- 例如:
dumpcap -i eth0 -w capture.pcap -n
-
-N
- 不解析協議層��,直接顯示原始數據包內容����。
- 例如:
dumpcap -i eth0 -w capture.pcap -N
-
-q
- 安靜模式����,減少輸出信息�。
- 例如:
dumpcap -i eth0 -w capture.pcap -q
-
-r
- 讀取已有的 pcap 文件并顯示其內容�����。
- 例如:
dumpcap -r capture.pcap
-
-t
- 設置時間戳類型(如 abs�、rel�����、dlt 等)�。
- 例如:
dumpcap -i eth0 -w capture.pcap -t abs
-
-T
- 設置輸出數據的格式(如 json�����、csv 等)�����。
- 例如:
dumpcap -i eth0 -w capture.pcap -T json
示例
以下是一個綜合使用多個參數的示例:
dumpcap -i eth0 -w capture_%Y-%m-%d_%H-%M-%S.pcap -C 100 -G 3600 -e -E "tcp port 80" -n -q
這個命令會在 eth0 接口上捕獲數據包�,每 100MB 或每小時生成一個新的 pcap 文件�����,捕獲 TCP 端口 80 的數據包���,顯示以太網幀的鏈路層頭部信息��,不將地址和端口轉換為名稱����,并且以安靜模式運行����。
通過這些參數����,你可以靈活地控制 dumpcap 的行為�����,以滿足不同的捕獲需求��。
