dumpcap - 云端在线

程序：

您的姓名

dumpcap - 转储网络流量

概要

dumpcap [ -a ] ... [ -b ] ...
[ -B ] [ -c ] [ -C ] [ -d ]
[ -D [ -f ] [ -g [ -h ]
[ -i |rpcap:// / |TCP@ ： |- ] [ -I ]
[ -L [ -M [ -n [ -N ] [ -p [ -P [ -q [ -s ]
[ -S [ -t [ -v [ -w ] [ -y ]
[ --捕获评论 ]

商品描述

Dumpcap 是一个网络流量转储工具。 它可以让您从现场捕获数据包数据
网络并将数据包写入文件。 Dumpcap的默认捕获文件格式是 封装
格式。 当。。。的时候 -P 选项被指定，输出文件被写入 电容 格式。

如果没有设置任何选项，它将使用 libpcap/WinPcap 库从
第一个可用的网络接口并写入接收到的原始数据包数据，以及
数据包的时间戳到一个 pcap 文件中。

如果 -w 未指定选项， Dumpcap 写入新创建的 pcap 文件
随机选择的名字。 如果 -w 选项被指定， Dumpcap 写入指定的文件
通过那个选项。

使用 pcap 库执行数据包捕获。 捕获过滤器语法如下
pcap 库的规则。

配置

-一种
指定一个标准来指定何时 Dumpcap 是停止写入捕获文件。
标准的形式是 test:折扣值，其中 test 是其中之一：

为期:折扣值 停止写入捕获文件后 折扣值 秒过去了。

文件大小:折扣值 在达到大小后停止写入捕获文件 折扣值 千字节。 如果
此选项与 -b 选项一起使用，dumpcap 将停止写入
当前捕获文件，如果达到文件大小，则切换到下一个。 请注意，
文件大小限制为最大值 2 GiB。

档:折扣值 停止写入捕获文件后 折扣值 写入的文件数。

-b
原因 Dumpcap 以“多个文件”模式运行。 在“多个文件”模式下， Dumpcap 将
写入多个捕获文件。 当第一个捕获文件填满时， Dumpcap 将
切换写入下一个文件，依此类推。

创建的文件名基于给定的文件名 -w 选项，号码
文件和创建日期和时间，例如 outfile_00001_20050604120117.pcap，
outfile_00002_20050604120523.pcap，...

随着 档 选项也可以形成一个“环形缓冲区”。 这将填满
新文件直到指定的文件数，此时 Dumpcap 将丢弃
数据并开始写入该文件，依此类推。 如果 档 选项
未设置，新文件被填满，直到捕获停止条件之一匹配（或
直到磁盘已满）。

标准的形式是 键:折扣值，其中 键 是其中之一：

为期:折扣值 之后切换到下一个文件 折扣值 秒过去了，即使
当前文件未完全填满。

文件大小:折扣值 达到大小后切换到下一个文件 折扣值 千字节。 注意
文件大小限制为最大值 2 GiB。

档:折扣值 之后从第一个文件重新开始 折扣值 写入的文件数
（形成环形缓冲区）。 此值必须小于 100000。应谨慎使用
使用大量文件时：某些文件系统不能在一个文件中处理许多文件
单目录好。 这 档 标准要求 为期 or 文件大小 成为
指定控制何时转到下一个文件。 需要注意的是，每个 -b
参数只需要一个标准； 要指定两个标准，每个标准都必须在前面
由 -b 选项。

示例： -b 文件大小：1000 -b 文件：5 产生五个大小文件的环形缓冲区
每个 XNUMX 兆字节。

-B
设置捕获缓冲区大小（以 MiB 为单位，默认为 2 MiB）。 这是捕获使用的
驱动程序缓冲数据包数据，直到该数据可以写入磁盘。 如果你遇到
捕获时丢包，请尝试增加此大小。 请注意，同时 Dumpcap
默认情况下尝试将缓冲区大小设置为 2 MiB，并且可以被告知将其设置为
较大的值，您正在捕获的系统或界面可能会默默地限制
捕获缓冲区大小为较低的值或将其提高为较高的值。

这在具有 libpcap 1.0.0 或更高版本的 UNIX 系统和 Windows 上可用。 这是
在具有较早版本 libpcap 的 UNIX 系统上不可用。

此选项可多次出现。 如果在第一次出现之前使用 -i
选项，它设置默认的捕获缓冲区大小。 如果在一个之后使用 -i 选项，它设置
最后一个指定的接口的捕获缓冲区大小 -i 选项发生
在此选项之前。 如果没有特别设置捕获缓冲区大小，则默认
而是使用捕获缓冲区大小。

-C
设置捕获实时数据时要读取的最大数据包数。

-C
限制用于将捕获的数据包存储在内存中的内存量（以字节为单位），同时
处理它。 如果与 -N 选项，两个限制都将适用。
设置此限制将启用每个接口的单独线程的使用。

-d 以人类可读的形式转储为捕获过滤器生成的代码，然后退出。

-D 打印接口列表 Dumpcap 可以捕获，然后退出。 对于每个
网络接口、编号和接口名称，可能后跟文本
接口的描述，被打印出来。 接口名称或编号可以是
提供给 -i 选项以指定要捕获的接口。

这在没有列出它们的命令的系统上很有用（例如，Windows
系统，或 UNIX 系统缺乏 使用ifconfig -a); 该数字在 Windows 上很有用
2000 及更高版本的系统，其中接口名称是一个有点复杂的字符串。

请注意，“可以捕获”意味着 Dumpcap 能够打开该设备进行现场直播
捕获。 根据您的系统，您可能需要从一个帐户运行 dumpcap
能够捕获网络流量的特殊权限（例如，作为 root）。 如果
"dumpcap -D" 不是从这样的帐户运行，它不会列出任何接口。

-F
设置捕获过滤器表达式。

整个过滤器表达式必须指定为单个参数（这意味着
如果它包含空格，则必须用引号引起来）。

此选项可多次出现。 如果在第一次出现之前使用 -i
选项，它设置默认的捕获过滤器表达式。 如果在一个之后使用 -i 选项，它
为最后一个指定的接口设置捕获过滤器表达式 -i 选项
发生在此选项之前。 如果未设置捕获过滤器表达式
具体来说，如果提供，则使用默认的捕获过滤器表达式。

-g 此选项导致使用组读取权限创建输出文件
（意味着输出文件可以被调用用户的其他成员读取
组）。

-h 打印版本和选项并退出。

-一世|rpcap:// / |TCP@ ： |-
设置用于实时数据包捕获的网络接口或管道的名称。

网络接口名称应与“dumpcap -D"
（如上所述）; 一个数字，如“dumpcap -D”，也可以用。如果你
使用 UNIX，“netstat命令 -i“或”使用ifconfig -a" 也可能用于列出接口名称，
尽管并非所有版本的 UNIX 都支持 -a 选项 使用ifconfig.

如果没有指定接口， Dumpcap 搜索接口列表，选择
如果有任何非环回接口，则选择第一个非环回接口，并选择
如果没有非环回接口，则为第一个环回接口。 如果没有
接口， Dumpcap 报告错误并且不开始捕获。

管道名称应该是 FIFO（命名管道）的名称或“-”以从中读取数据
标准输入。 从管道读取的数据必须采用标准 pcap 格式。

此选项可多次出现。 从多个接口捕获时，
捕获文件将以 pcap-ng 格式保存。

注：Win32版本 Dumpcap 不支持从管道或标准输入捕获！

-I 将界面置于“监控模式”； 这仅在 IEEE 802.11 Wi-Fi 上受支持
接口，并且仅在某些操作系统上受支持。

请注意，在监控模式下，适配器可能会与网络断开关联
它是关联的，因此您将无法使用任何无线网络
适配器。 这可能会阻止访问网络服务器上的文件或解析主机
名称或网络地址，如果您在监控模式下捕获并且未连接
使用另一个适配器连接到另一个网络。

此选项可多次出现。 如果在第一次出现之前使用 -i
选项，它为所有接口启用监视模式。 如果在一个之后使用 -i 选项，
它为最后一个指定的接口启用监控模式 -i 选项
发生在此选项之前。

-L 列出接口支持的数据链路类型并退出。 报告的链接类型
可用于 -y 选项。

-M 与 -D, -L or -S, 打印机器可读的输出。 机器可读的
输出旨在由 Wireshark的 和 鲨鱼; 其格式可能会发生变化
从发布到发布。

-n 将文件另存为 pcap-ng。 这是默认设置。

-N
限制用于将捕获的数据包存储在内存中的数据包数量，同时
处理它。 如果与 -C 选项，两个限制都将适用。
设置此限制将启用每个接口的单独线程的使用。

-p 别 将界面置于混杂模式。 请注意，该界面可能在
由于其他原因混杂模式； 因此， -p 不能用来确保
只有被捕获的流量是发送到或来自机器的流量 Dumpcap
正在运行，广播流量和多播流量到该地址接收的地址
机。

此选项可多次出现。 如果在第一次出现之前使用 -i
选项，不会将任何接口置于混杂模式。 如果在一个之后使用 -i
选项，最后指定的接口 -i 选项出现在此选项之前
不会进入混杂模式。

-P 将文件保存为 pcap 而不是默认的 pcap-ng。 在需要 pcap-ng 的情况下，
例如从多个接口捕获，此选项将被覆盖。

-q 抓包时，不显示抓包的连续计数
通常在将捕获保存到文件时显示； 相反，只需在结尾处显示
捕获，捕获的数据包计数。 在支持 SIGINFO 信号的系统上，
例如各种 BSD，您可以通过键入您的
“状态”字符（通常是 control-T，虽然它可能被设置为“禁用”
至少在某些 BSD 上默认，因此您必须明确设置它才能使用它）。

-s
设置捕获实时数据时要使用的默认快照长度。 不超过 斯普林
每个网络数据包的字节将被读入内存，或保存到磁盘。 值为 0
指定快照长度为65535，以便捕获完整的数据包； 这是
默认。

此选项可多次出现。 如果在第一次出现之前使用 -i
选项，它设置默认快照长度。 如果在一个之后使用 -i 选项，它设置
最后指定的接口的快照长度 -i 选项发生在之前
这个选项。 如果快照长度没有特别设置，默认快照
如果提供，则使用长度。

-S 每秒打印一次每个接口的统计信息。

-t 每个接口使用一个单独的线程。

-v 打印版本并退出。

-w
将原始数据包数据写入 输出文件. 对标准输出使用“-”。

-y
设置捕获数据包时要使用的数据链路类型。 报告的值 -L 旨在
可以使用的值。

此选项可多次出现。 如果在第一次出现之前使用 -i
选项，它设置默认的捕获链接类型。 如果在一个之后使用 -i 选项，它设置
最后指定的接口的捕获链接类型 -i 选项发生
在此选项之前。 如果没有特别设置抓包链接类型，则默认
如果提供，则使用捕获链接类型。

--捕获评论
向输出文件添加捕获注释。

只有当我们将捕获的数据包输出到单个文件中时，此选项才可用
pcap-ng 格式。 每个输出文件只能设置一个捕获注释。

采集 FILTER 句法

参见手册页 pcap-过滤器(7) 或者，如果不存在， 转储(8)，或者，如果
不存在， .

使用 onworks.net 服务在线使用 dumpcap