Ubuntu Dumpcap命令行参数详解
导读:dumpcap 是 Wireshark 套件中的一个命令行工具,用于捕获网络数据包。以下是一些常用的 dumpcap 命令行参数及其详解: 基本参数 -i 指定要捕获数据包的网络接口。 例如:-i eth0 -w 将捕获的...
dumpcap 是 Wireshark 套件中的一个命令行工具,用于捕获网络数据包。以下是一些常用的 dumpcap 命令行参数及其详解:
基本参数
-
-i
- 指定要捕获数据包的网络接口。
- 例如:
-i eth0
-
-w
- 将捕获的数据包写入指定的文件中,通常以
.pcap或.pcapng格式保存。 - 例如:
-w capture.pcap
- 将捕获的数据包写入指定的文件中,通常以
-
-C
- 设置每个捕获文件的最大大小(以 MB 为单位)。
- 例如:
-C 100表示每个文件最大为 100 MB。
-
-G
- 设置自动旋转捕获文件的时间间隔(以秒为单位)。
- 例如:
-G 3600表示每小时创建一个新的捕获文件。
-
-W
- 设置自动旋转捕获文件的最大数量。
- 例如:
-W 10表示最多保留 10 个捕获文件。
-
-q
- 安静模式,减少输出信息,只显示错误信息。
-
-v
- 详细模式,显示更多的调试信息。
-
-vv
- 更详细的模式,显示最多的调试信息。
过滤参数
- -f
- 使用 BPF(Berkeley Packet Filter)语法指定过滤器表达式,只捕获符合条件的数据包。
- 例如:
-f "tcp port 80"只捕获 TCP 端口 80 的数据包。
时间参数
-
-a
- 设置捕获数据包的最大长度(以字节为单位)。
- 例如:
-a 65535表示捕获整个数据包,不截断。
-
-s
- 同
-a,设置捕获数据包的最大长度。
- 同
网络参数
-
-n
- 不将地址和端口转换为名称,直接显示 IP 地址和端口号。
-
-nn
- 不进行任何名称解析,包括协议名称和端口名称。
-
-N
- 不解析协议名称,只显示数字形式的协议编号。
其他参数
-
-t
- 设置时间戳的格式。
- 例如:
-t ad表示使用绝对日期和时间。
-
-T
- 设置输出文件的格式。
- 例如:
-T fields表示输出特定字段的数据。
-
-E =
- 设置加密选项,例如
-E encryption_key=123456。
- 设置加密选项,例如
-
-K
- 启用密钥日志记录。
示例命令
dumpcap -i eth0 -w capture.pcap -C 100 -G 3600 -W 10 -f "tcp port 80" -n
这个命令会在 eth0 接口上捕获 TCP 端口 80 的数据包,每个文件最大 100 MB,每小时创建一个新的文件,最多保留 10 个文件,并且不进行名称解析。
希望这些参数能帮助你更好地使用 dumpcap 进行网络数据包捕获。如果有更多问题,欢迎继续提问!
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: Ubuntu Dumpcap命令行参数详解
本文地址: https://pptw.com/jishu/716917.html