在Debian系统中,dumpcap 是一个用于捕获网络流量的工具,通常与Wireshark一起使用。以下是一些常用的 dumpcap 命令行参数:
-i <interface>: 指定要捕获数据包的网络接口。
-w <file>: 将捕获的数据包写入指定的文件中,通常以PCAP格式保存。
-C <size>: 设置每个PCAP文件的最大大小(以MB为单位)。当达到指定大小时,会自动创建新的文件。
-G <seconds>: 设置时间戳间隔,定期创建新的PCAP文件。
-W <files>: 设置最大保存的PCAP文件数量。超过这个数量后,最早的文件会被删除。
-q: 安静模式,减少输出信息。
-v: 增加详细程度,显示更多的调试信息。
-n: 不将地址和端口转换为名称,加快捕获速度。
-N: 只捕获指定数量的数据包。
-s <snaplen>: 设置捕获数据包的最大长度(以字节为单位),默认是65535字节。
-e: 显示链路层头部信息。
-f <expression>: 使用BPF(Berkeley Packet Filter)语法设置过滤器,只捕获符合条件的数据包。
这些参数可以组合使用,以满足特定的捕获需求。例如,以下命令将在eth0接口上捕获前100个数据包,并将它们保存到output.pcap文件中:
sudo dumpcap -i eth0 -w output.pcap -c 100 在使用 dumpcap 时,请确保具有足够的权限,通常需要root权限才能捕获网络流量。
