นี่คือดัมพ์แคปคำสั่งที่สามารถเรียกใช้ในผู้ให้บริการโฮสต์ฟรีของ OnWorks โดยใช้เวิร์กสเตชันออนไลน์ฟรีของเรา เช่น Ubuntu Online, Fedora Online, โปรแกรมจำลองออนไลน์ของ Windows หรือโปรแกรมจำลองออนไลน์ของ MAC OS
โครงการ:
ชื่อ
dumpcap - ถ่ายโอนข้อมูลเครือข่าย
เรื่องย่อ
หมวกแก๊ป [ -a ] ... [ -b ] ...
[ -B ] [ -c ] [ -C ] [ -d ]
[ -D ] [ -f ] [ -g ] [ -h ]
[ -i |rpcap:// / |TCP@ : |- ] [ -I ]
[ -L ] [ -M ] [ -n ] [ -N ] [ -p ] [ -P ] [ -q ] [ -s ]
[ -S ] [ -t ] [ -v ] [ -w ] [ -y ]
[ --capture-ความคิดเห็น ]
DESCRIPTION
ดัมพ์แคป เป็นเครื่องมือถ่ายโอนข้อมูลเครือข่าย ช่วยให้คุณสามารถดักจับข้อมูลแพ็คเก็ตจากการถ่ายทอดสด
เครือข่ายและเขียนแพ็กเก็ตไปยังไฟล์ ดัมพ์แคปรูปแบบไฟล์การจับภาพเริ่มต้นของคือ pcap-ง
รูปแบบ. เมื่อ -P ระบุตัวเลือกแล้ว ไฟล์เอาต์พุตจะถูกเขียนในไฟล์ พีซีแคป จัดรูปแบบ
หากไม่ได้ตั้งค่าตัวเลือกใดๆ ไว้ ระบบจะใช้ไลบรารี libpcap/WinPcap เพื่อดักจับการรับส่งข้อมูลจาก
อินเทอร์เฟซเครือข่ายแรกที่มีอยู่และเขียนข้อมูลแพ็คเก็ตดิบที่ได้รับพร้อมกับ
การประทับเวลาของแพ็กเก็ตเป็นไฟล์ pcap
ถ้า -w ไม่ได้ระบุตัวเลือก ดัมพ์แคป เขียนไปยังไฟล์ pcap ที่สร้างขึ้นใหม่ด้วย a
ชื่อที่สุ่มเลือก ถ้า -w มีการระบุตัวเลือก ดัมพ์แคป เขียนไปยังไฟล์ที่ระบุ
โดยตัวเลือกนั้น
การจับแพ็คเก็ตดำเนินการด้วยไลบรารี pcap ไวยากรณ์ตัวกรองการดักจับดังต่อไปนี้
กฎของไลบรารี pcap
OPTIONS
-NS
ระบุเกณฑ์ที่ระบุว่าเมื่อ ดัมพ์แคป คือการหยุดเขียนไปยังไฟล์แคปเจอร์
เกณฑ์อยู่ในรูปแบบ ทดสอบ:ความคุ้มค่าที่นี่มี ทดสอบ เป็นหนึ่งใน:
ระยะเวลา:ความคุ้มค่า หยุดเขียนไปยังไฟล์จับภาพหลังจาก ความคุ้มค่า วินาทีผ่านไป
ขนาดไฟล์:ความคุ้มค่า หยุดเขียนไปยังไฟล์การจับภาพหลังจากมีขนาดถึง ความคุ้มค่า กิโลไบต์ ถ้า
อ็อพชันนี้ใช้ร่วมกับอ็อพชัน -b, dumpcap จะหยุดเขียนไปที่
ไฟล์การจับภาพปัจจุบันและเปลี่ยนเป็นไฟล์ถัดไปหากถึงขนาดไฟล์ โปรดทราบว่า
ขนาดไฟล์ถูก จำกัด ไว้ที่ค่าสูงสุด 2 GiB
ไฟล์:ความคุ้มค่า หยุดเขียนเพื่อจับภาพไฟล์หลังจาก ความคุ้มค่า จำนวนไฟล์ที่เขียน
-NS
ก่อให้เกิด ดัมพ์แคป เพื่อทำงานในโหมด "หลายไฟล์" ในโหมด "หลายไฟล์" ดัมพ์แคป จะ
เขียนไปยังไฟล์การจับภาพหลายไฟล์ เมื่อไฟล์แคปเจอร์แรกเต็ม ดัมพ์แคป จะ
สลับการเขียนไปยังไฟล์ถัดไปเป็นต้น
ชื่อไฟล์ที่สร้างขึ้นจะขึ้นอยู่กับชื่อไฟล์ที่ให้ไว้กับ -w ตัวเลือกหมายเลข
ของไฟล์และในวันที่และเวลาที่สร้าง เช่น outfile_00001_20050604120117.pcap
outfile_00002_20050604120523.pcap, ...
กับ ไฟล์ ตัวเลือกยังสามารถสร้าง "บัฟเฟอร์วงแหวน" นี้ก็จะเต็มแล้ว
ไฟล์ใหม่จนถึงจำนวนไฟล์ที่ระบุ ณ จุดนั้น ดัมพ์แคป จะทิ้ง
ข้อมูลในไฟล์แรกและเริ่มเขียนไปยังไฟล์นั้นเป็นต้น ถ้า ไฟล์ ตัวเลือก
ไม่ได้ตั้งค่า ไฟล์ใหม่จะเต็มจนกว่าเงื่อนไขการหยุดการจับภาพอย่างใดอย่างหนึ่งตรงกัน (หรือ
จนกว่าดิสก์จะเต็ม)
เกณฑ์อยู่ในรูปแบบ สำคัญ:ความคุ้มค่าที่นี่มี สำคัญ เป็นหนึ่งใน:
ระยะเวลา:ความคุ้มค่า เปลี่ยนเป็นไฟล์ถัดไปหลังจาก ความคุ้มค่า วินาทีผ่านไปแล้ว แม้ว่า
ไฟล์ปัจจุบันไม่เต็ม
ขนาดไฟล์:ความคุ้มค่า สลับไปยังไฟล์ถัดไปหลังจากที่ถึงขนาด ความคุ้มค่า กิโลไบต์ สังเกตว่า
ขนาดไฟล์ถูก จำกัด ไว้ที่ค่าสูงสุด 2 GiB
ไฟล์:ความคุ้มค่า เริ่มต้นใหม่อีกครั้งด้วยไฟล์แรกหลังจาก ความคุ้มค่า จำนวนไฟล์ที่เขียน
(สร้างบัฟเฟอร์วงแหวน) ค่านี้ต้องน้อยกว่า 100000 ควรใช้ความระมัดระวัง
เมื่อใช้ไฟล์จำนวนมาก: ระบบไฟล์บางระบบไม่สามารถจัดการไฟล์จำนวนมากใน a
ไดเร็กทอรีเดียวได้ดี NS ไฟล์ เกณฑ์ต้องการอย่างใดอย่างหนึ่ง ระยะเวลา or ขนาดไฟล์ ที่จะ
กำหนดไว้เพื่อควบคุมเวลาที่จะไปที่ไฟล์ถัดไป ควรสังเกตว่าแต่ละ -b
พารามิเตอร์ใช้เกณฑ์เดียว ในการระบุสองเกณฑ์ ให้นำหน้าแต่ละเกณฑ์
โดย -b ตัวเลือก
ตัวอย่าง: -b ขนาดไฟล์:1000 -b ไฟล์:5 ส่งผลให้บัฟเฟอร์วงแหวนของไฟล์ขนาดห้าไฟล์
แต่ละเมกะไบต์
-NS
ตั้งค่าขนาดบัฟเฟอร์การจับภาพ (ใน MiB ค่าเริ่มต้นคือ 2 MiB) นี้ถูกใช้โดยการจับ
ไดรเวอร์เพื่อบัฟเฟอร์ข้อมูลแพ็กเก็ตจนกว่าจะสามารถเขียนข้อมูลลงในดิสก์ได้ หากพบเจอ
แพ็คเก็ตลดลงขณะจับภาพ พยายามเพิ่มขนาดนี้ โปรดทราบว่าในขณะที่ ดัมพ์แคป
พยายามตั้งค่าขนาดบัฟเฟอร์เป็น 2 MiB โดยค่าเริ่มต้น และสามารถบอกให้ตั้งค่าเป็น a
มูลค่าที่มากขึ้น ระบบหรืออินเทอร์เฟซที่คุณกำลังจับภาพอาจจำกัด
ขนาดบัฟเฟอร์การดักจับเป็นค่าที่ต่ำกว่าหรือเพิ่มเป็นค่าที่สูงกว่า
มีให้ใช้งานบนระบบ UNIX ที่มี libpcap 1.0.0 หรือใหม่กว่าและบน Windows มันคือ
ไม่พร้อมใช้งานบนระบบ UNIX ที่มี libpcap เวอร์ชันก่อนหน้า
ตัวเลือกนี้สามารถเกิดขึ้นได้หลายครั้ง หากใช้ก่อนการเกิดครั้งแรกของ -i
ตัวเลือกจะตั้งค่าขนาดบัฟเฟอร์การจับภาพเริ่มต้น ถ้าใช้หลัง an -i ตัวเลือก มันตั้งค่า
ขนาดบัฟเฟอร์การจับภาพสำหรับอินเทอร์เฟซที่ระบุโดยlast -i ทางเลือกที่เกิดขึ้น
ก่อนตัวเลือกนี้ หากไม่ได้ตั้งค่าขนาดบัฟเฟอร์การจับภาพไว้โดยเฉพาะ ค่าเริ่มต้น
ใช้ขนาดบัฟเฟอร์การดักจับแทน
-ค
ตั้งค่าจำนวนสูงสุดของแพ็กเก็ตที่จะอ่านเมื่อบันทึกข้อมูลสด
-ค
จำกัดจำนวนหน่วยความจำเป็นไบต์ที่ใช้สำหรับจัดเก็บแพ็กเก็ตที่บันทึกไว้ในหน่วยความจำในขณะที่
กำลังประมวลผล หากใช้ร่วมกับ -N ตัวเลือกจะใช้ข้อจำกัดทั้งสอง
การตั้งค่าขีดจำกัดนี้จะเปิดใช้งานการใช้เธรดแยกต่ออินเทอร์เฟซ
-d ทิ้งรหัสที่สร้างขึ้นสำหรับตัวกรองการดักจับในรูปแบบที่มนุษย์อ่านได้ และออก
-D พิมพ์รายการอินเทอร์เฟซที่ ดัมพ์แคป สามารถจับและออก แต่ละ
อินเทอร์เฟซเครือข่าย ตัวเลขและชื่ออินเทอร์เฟซ อาจตามด้วยข้อความ
พิมพ์คำอธิบายของอินเทอร์เฟซ ชื่ออินเทอร์เฟซหรือหมายเลขสามารถ
ให้มาที่ -i ตัวเลือกเพื่อระบุอินเทอร์เฟซที่จะจับภาพ
สิ่งนี้มีประโยชน์กับระบบที่ไม่มีคำสั่งให้แสดงรายการ (เช่น Windows
ระบบหรือระบบ UNIX ที่ขาด ifconfig -a); หมายเลขนี้มีประโยชน์บน Windows
ระบบ 2000 และใหม่กว่า โดยที่ชื่ออินเทอร์เฟซเป็นสตริงที่ค่อนข้างซับซ้อน
โปรดทราบว่า "จับได้" หมายความว่า ดัมพ์แคป ก็สามารถเปิดเครื่องนั้นเพื่อทำการถ่ายทอดสดได้
การจับกุม. ขึ้นอยู่กับระบบของคุณ คุณอาจต้องเรียกใช้ dumpcap จากบัญชีที่มี
สิทธิพิเศษ (เช่น เป็นรูท) เพื่อให้สามารถดักจับการรับส่งข้อมูลเครือข่าย ถ้า
"หมวกแก๊ป -D" ไม่ได้เรียกใช้จากบัญชีดังกล่าว จะไม่แสดงรายการอินเทอร์เฟซใดๆ
-NS
ตั้งค่านิพจน์ตัวกรองการจับภาพ
ต้องระบุนิพจน์ตัวกรองทั้งหมดเป็นอาร์กิวเมนต์เดียว (ซึ่งหมายความว่า
หากมีช่องว่างจะต้องยกมา)
ตัวเลือกนี้สามารถเกิดขึ้นได้หลายครั้ง หากใช้ก่อนการเกิดครั้งแรกของ -i
ตัวเลือกจะตั้งค่านิพจน์ตัวกรองการจับภาพเริ่มต้น ถ้าใช้หลัง an -i ตัวเลือกมัน
ตั้งค่านิพจน์ตัวกรองการจับภาพสำหรับอินเทอร์เฟซที่ระบุโดยlast -i ตัวเลือก
เกิดขึ้นก่อนตัวเลือกนี้ หากไม่ได้ตั้งค่านิพจน์ตัวกรองการจับภาพ
โดยเฉพาะอย่างยิ่ง นิพจน์ตัวกรองการดักจับเริ่มต้นจะถูกใช้หากมีให้
-g ตัวเลือกนี้ทำให้ไฟล์เอาต์พุตถูกสร้างขึ้นด้วยสิทธิ์การอ่านกลุ่ม
(หมายความว่าไฟล์เอาต์พุตสามารถอ่านได้โดยสมาชิกคนอื่น ๆ ของผู้ใช้ที่เรียก
กลุ่ม).
-h พิมพ์เวอร์ชันและตัวเลือกและออก
-ผม |rpcap:// / |TCP@ : |-
ตั้งชื่ออินเทอร์เฟซเครือข่ายหรือไปป์ที่จะใช้สำหรับการดักจับแพ็กเก็ตแบบสด
ชื่ออินเทอร์เฟซเครือข่ายควรตรงกับชื่อใดชื่อหนึ่งใน "หมวกแก๊ป -D"
(อธิบายไว้ข้างต้น); จำนวนตามที่รายงานโดย "หมวกแก๊ป -D"ก็ใช้ได้นะ ถ้าคุณ
ใช้ยูนิกซ์ "netstat -i"หรือ"ifconfig -a" อาจทำงานเพื่อแสดงรายการชื่ออินเทอร์เฟซ
แม้ว่า UNIX จะไม่รองรับทุกเวอร์ชัน -a ตัวเลือก ifconfig.
หากไม่มีการระบุอินเทอร์เฟซ ดัมพ์แคป ค้นหารายการอินเทอร์เฟซโดยเลือก
อินเทอร์เฟซแบบ non-loopback แรกหากมีอินเทอร์เฟซแบบ non-loopback และเลือก
อินเทอร์เฟซลูปแบ็คแรกหากไม่มีอินเทอร์เฟซที่ไม่ใช่ลูปแบ็ค ถ้าไม่มี
อินเทอร์เฟซเลย ดัมพ์แคป รายงานข้อผิดพลาดและไม่เริ่มการจับภาพ
ชื่อไปป์ควรเป็นชื่อของ FIFO (ชื่อไปป์) หรือ ``-'' เพื่ออ่านข้อมูลจาก
อินพุตมาตรฐาน ข้อมูลที่อ่านจากไพพ์ต้องอยู่ในรูปแบบ pcap มาตรฐาน
ตัวเลือกนี้สามารถเกิดขึ้นได้หลายครั้ง เมื่อจับภาพจากหลายอินเทอร์เฟซ
ไฟล์การจับภาพจะถูกบันทึกในรูปแบบ pcap-ng
หมายเหตุ: . เวอร์ชัน Win32 ดัมพ์แคป ไม่รองรับการจับภาพจากท่อหรือ stdin!
-I ใส่อินเทอร์เฟซใน "โหมดจอภาพ"; รองรับเฉพาะ IEEE 802.11 Wi-Fi
อินเทอร์เฟซและรองรับเฉพาะระบบปฏิบัติการบางระบบเท่านั้น
โปรดทราบว่าในโหมดมอนิเตอร์ อแด็ปเตอร์อาจแยกออกจากเครือข่ายซึ่ง
มันเชื่อมโยงกัน ดังนั้นคุณจะไม่สามารถใช้เครือข่ายไร้สายใด ๆ กับสิ่งนั้นได้
อะแดปเตอร์ สิ่งนี้สามารถป้องกันการเข้าถึงไฟล์บนเซิร์ฟเวอร์เครือข่ายหรือแก้ไขโฮสต์
ชื่อหรือที่อยู่เครือข่าย หากคุณกำลังจับภาพในโหมดจอภาพและไม่ได้เชื่อมต่อ
ไปยังเครือข่ายอื่นด้วยอะแดปเตอร์อื่น
ตัวเลือกนี้สามารถเกิดขึ้นได้หลายครั้ง หากใช้ก่อนการเกิดครั้งแรกของ -i
ตัวเลือกจะเปิดใช้งานโหมดจอภาพสำหรับอินเทอร์เฟซทั้งหมด ถ้าใช้หลัง an -i ตัวเลือก
มันเปิดใช้งานโหมดจอภาพสำหรับอินเทอร์เฟซที่ระบุโดยlast -i ตัวเลือก
เกิดขึ้นก่อนตัวเลือกนี้
-L แสดงรายการประเภทดาต้าลิงค์ที่รองรับโดยอินเทอร์เฟซและออก ประเภทลิงก์ที่รายงาน
สามารถใช้สำหรับไฟล์ -y ตัวเลือก
-M เมื่อใช้กับ -D, -L or -S, เครื่องพิมพ์- เอาต์พุตที่อ่านได้ เครื่องอ่านได้
เอาต์พุตมีไว้เพื่อให้อ่านโดย Wireshark และ ฉลาม; รูปแบบอาจมีการเปลี่ยนแปลง
จากการปล่อยสู่การปล่อย
-n บันทึกไฟล์เป็น pcap-ng นี่คือค่าเริ่มต้น
-NS
จำกัดจำนวนแพ็กเก็ตที่ใช้สำหรับจัดเก็บแพ็กเก็ตที่ดักจับในหน่วยความจำในขณะที่
กำลังประมวลผล หากใช้ร่วมกับ -C ตัวเลือกจะใช้ข้อจำกัดทั้งสอง
การตั้งค่าขีดจำกัดนี้จะเปิดใช้งานการใช้เธรดแยกต่ออินเทอร์เฟซ
-p อย่า ทำให้อินเทอร์เฟซเข้าสู่โหมดสำส่อน โปรดทราบว่าอินเทอร์เฟซอาจอยู่ใน
โหมดสำส่อนด้วยเหตุผลอื่น เพราะฉะนั้น, -p ไม่สามารถใช้เพื่อให้แน่ใจว่า
เฉพาะทราฟฟิกที่จับได้เท่านั้น คือ ทราฟฟิกที่ส่งไปหรือกลับจากเครื่องที่ ดัมพ์แคป
กำลังรัน ออกอากาศทราฟฟิก และทราฟฟิกมัลติคาสต์ไปยังที่อยู่ที่รับ
เครื่อง
ตัวเลือกนี้สามารถเกิดขึ้นได้หลายครั้ง หากใช้ก่อนการเกิดครั้งแรกของ -i
ตัวเลือก อินเทอร์เฟซจะไม่ถูกใส่ลงในโหมดสำส่อน ถ้าใช้หลัง an -i
ตัวเลือกอินเทอร์เฟซที่ระบุโดยlast -i ตัวเลือกที่เกิดขึ้นก่อนตัวเลือกนี้
จะไม่เข้าสู่โหมดสำส่อน
-P บันทึกไฟล์เป็น pcap แทน pcap-ng เริ่มต้น ในสถานการณ์ที่ต้องใช้ pcap-ng
เช่น การจับภาพจากหลายอินเทอร์เฟซ ตัวเลือกนี้จะถูกแทนที่
-q เมื่อทำการดักจับแพ็กเก็ต อย่าแสดงการนับต่อเนื่องของแพ็กเก็ตที่ถูกดักจับนั่นคือ
ปกติจะแสดงเมื่อบันทึกการจับภาพไปยังไฟล์ แทน เพียงแสดง ต่อท้าย
การดักจับ การนับแพ็คเก็ตที่ดักจับ บนระบบที่รองรับสัญญาณ SIGINFO
เช่น BSD ต่างๆ คุณสามารถทำให้จำนวนปัจจุบันแสดงได้โดยพิมพ์ your
อักขระ "สถานะ" (โดยทั่วไปคือ control-T แม้ว่าอาจถูกตั้งค่าเป็น "ปิดการใช้งาน" โดย
ค่าเริ่มต้นใน BSD บางตัวเป็นอย่างน้อย ดังนั้นคุณต้องตั้งค่าให้ชัดเจนเพื่อใช้งาน)
-NS
ตั้งค่าความยาวสแน็ปช็อตเริ่มต้นที่จะใช้เมื่อบันทึกข้อมูลสด ไม่เกิน สแน็ปเลน
ไบต์ของแพ็กเก็ตเครือข่ายแต่ละรายการจะถูกอ่านในหน่วยความจำหรือบันทึกลงในดิสก์ ค่า 0
ระบุความยาวสแน็ปช็อตเป็น 65535 เพื่อให้สามารถดักจับแพ็กเก็ตแบบเต็มได้ นี้เป็น
ค่าเริ่มต้น.
ตัวเลือกนี้สามารถเกิดขึ้นได้หลายครั้ง หากใช้ก่อนการเกิดครั้งแรกของ -i
ตัวเลือกจะตั้งค่าความยาวสแน็ปช็อตเริ่มต้น ถ้าใช้หลัง an -i ตัวเลือกจะตั้งค่า
ความยาวสแน็ปช็อตสำหรับอินเทอร์เฟซที่ระบุโดยlast -i ตัวเลือกที่เกิดขึ้นก่อน
ตัวเลือกนี้ หากไม่ได้ตั้งค่าความยาวสแน็ปช็อตโดยเฉพาะ สแนปชอตเริ่มต้น
ใช้ความยาวถ้ามี
-S สถิติการพิมพ์สำหรับแต่ละอินเทอร์เฟซทุกๆ วินาที
-t ใช้เธรดแยกต่ออินเทอร์เฟซ
-v พิมพ์เวอร์ชันและออก
-w
เขียนข้อมูลแพ็กเก็ตดิบไปที่ ออกจากไฟล์. ใช้ "-" สำหรับ stdout
-y
ตั้งค่าประเภทดาต้าลิงค์เพื่อใช้ในขณะที่จับแพ็กเก็ต ค่าที่รายงานโดย -L เป็น
ค่าที่สามารถใช้ได้
ตัวเลือกนี้สามารถเกิดขึ้นได้หลายครั้ง หากใช้ก่อนการเกิดครั้งแรกของ -i
ตัวเลือกจะตั้งค่าประเภทลิงก์การจับภาพเริ่มต้น ถ้าใช้หลัง an -i ตัวเลือก มันตั้งค่า
ประเภทลิงค์การจับภาพสำหรับอินเทอร์เฟซที่ระบุโดยตัวสุดท้าย -i ทางเลือกที่เกิดขึ้น
ก่อนตัวเลือกนี้ หากไม่ได้ตั้งค่าประเภทลิงก์การจับภาพไว้เป็นการเฉพาะ ค่าเริ่มต้น
ใช้ประเภทลิงก์การจับภาพหากมีให้
--capture-ความคิดเห็น
เพิ่มความคิดเห็นในการจับภาพไปยังไฟล์ที่ส่งออก
ตัวเลือกนี้จะใช้ได้ก็ต่อเมื่อเราส่งออกแพ็กเก็ตที่ดักจับไปยังไฟล์เดียวใน
รูปแบบ pcap-ng สามารถตั้งค่าข้อคิดเห็นการจับภาพได้เพียงหนึ่งครั้งต่อไฟล์ที่ส่งออก
การจับกุม FILTER ซิงค์
ดูหน้าคู่มือของ pcap-ตัวกรอง(7) หรือหากไม่มีอยู่ tcpdump(8) หรือหากว่า
ไม่มีอยู่จริง .
ใช้ dumpcap ออนไลน์โดยใช้บริการ onworks.net
