dumpcap 是 Wireshark 套件中的一個命令行工具��,用于捕獲網絡數據包�。以下是一些常見的 dumpcap 用法:
基本用法
-
捕獲所有接口的數據包
dumpcap -i any
-
捕獲特定接口的數據包
dumpcap -i eth0
-
設置捕獲文件的最大大小
dumpcap -C 1000 -w capture.pcap
這將限制每個捕獲文件的大小為 1000 MB���。
-
設置捕獲文件的命名模式
dumpcap -w capture_%d.pcap
這將使用 %d 作為文件編號的占位符��。
-
設置捕獲時間限制
dumpcap -G 60 -W 10 -w capture.pcap
這將每 60 秒創建一個新的捕獲文件�,并且最多保留 10 個文件���。
-
捕獲特定協議的數據包
dumpcap -i eth0 -Y "tcp port 80"
這將只捕獲通過 TCP 端口 80 的數據包����。
-
捕獲特定源或目標 IP 的數據包
dumpcap -i eth0 -Y "src host 192.168.1.1"
dumpcap -i eth0 -Y "dst host 192.168.1.1"
-
捕獲特定 MAC 地址的數據包
dumpcap -i eth0 -Y "ether host 00:11:22:33:44:55"
-
捕獲特定 VLAN ID 的數據包
dumpcap -i eth0 -Y "vlan id 100"
-
捕獲特定以太網類型的數據包
dumpcap -i eth0 -Y "ether proto 0x0800"
高級用法
-
使用過濾器表達式
dumpcap -i eth0 -Y "tcp portrange 80-88"
這將捕獲 TCP 端口在 80 到 88 之間的數據包�。
-
設置捕獲緩沖區大小
dumpcap -B 10485760 -w capture.pcap
這將設置捕獲緩沖區大小為 10 MB����。
-
設置捕獲接口的 promiscuous 模式
dumpcap -i eth0 -p
這將啟用 promiscuous 模式��,允許捕獲所有經過接口的數據包����。
-
設置捕獲接口的混雜模式
dumpcap -i eth0 -P
這將啟用混雜模式�,允許捕獲所有經過接口的數據包(與 promiscuous 模式相同)��。
-
設置捕獲接口的帶寬限制
dumpcap -i eth0 -b 1000000
這將設置捕獲接口的帶寬限制為 1 Mbps�。
-
設置捕獲接口的采樣率
dumpcap -i eth0 -s 1000
這將設置捕獲接口的采樣率為每秒 1000 個數據包����。
注意事項
- 確保你有足夠的權限來捕獲網絡數據包��,通常需要 root 權限����。
- 使用
-w 選項指定輸出文件時�����,確保路徑是可寫的�����。
- 使用
-C 和 -W 選項時���,確保磁盤空間足夠���。
通過這些常見的用法��,你可以靈活地使用 dumpcap 來捕獲和分析網絡數據包��。
