dumpcap 是 Wireshark 套件中的命令行抓包工具，专门用于网络流量的高效捕获。但其真正的强大之处，在于能够与多种工具协同工作。无论是配合 Wireshark 进行深度协议分析，还是与 tshark、tcpdump 等命令行工具搭配使用，掌握这些组合技巧，都将显著提升你的网络故障排查效率。

1. 使用 -w 选项将捕获的数据保存到文件中

这是最基础也是最常用的操作：将捕获结果直接保存为 pcap 文件，后续可借助 Wireshark 或其他分析工具进行详细分析。

sudo dumpcap -i eth0 -w capture.pcap

2. 使用 -c 选项限制捕获的数据包数量

若你只需要捕获固定数量的数据包，例如先抓取 100 个进行初步检查，-c 参数正好派上用场。

sudo dumpcap -i eth0 -c 100 -w capture.pcap

3. 使用 -G 选项设置捕获文件的滚动间隔

在长时间抓包场景下，最令人担忧的就是单个文件撑爆磁盘。用 -G 指定轮转时间（如每小时一个文件），再配合 -W 限制文件总数，既安全又便于归档。

sudo dumpcap -i eth0 -G 3600 -W 10 -w capture_%Y-%m-%d_%H-%M-%S.pcap

4. 使用 -r 选项读取已保存的捕获文件

将已捕获的 pcap 文件重新读入 dumpcap，然后配合其他处理工具进行二次处理，相当于将其作为一个“透传”节点使用。

dumpcap -r capture.pcap

5. 使用 -n 和 -N 选项禁用名称解析

默认情况下，抓包时会进行 DNS 解析，这会影响速度。若你只需快速抓取原始包，用 -n 关闭网络层解析，-N 关闭传输层解析，性能提升立竿见影。

sudo dumpcap -i eth0 -n -N -w capture.pcap

6. 使用 -s 选项设置捕获长度

每个数据包需要捕获多长？默认通常抓取整个包，但如果只关心头部信息，可以设置 snaplen 来节省存储空间和 I/O 开销。

sudo dumpcap -i eth0 -s 65535 -w capture.pcap

7. 使用 tshark 进行实时分析和过滤

tshark 是 Wireshark 的同源工具，支持实时捕获与过滤。例如，只抓取 HTTP（80 端口）的流量，并直接保存为专用文件。

sudo tshark -i eth0 -f "port 80" -w capture_http.pcap

8. 使用 tcpdump 进行实时捕获和分析

经典工具 tcpdump 同样可以与 dumpcap 配合使用。通过管道将 tcpdump 的输出传递给 dumpcap，实现类似“转存”的功能。

sudo tcpdump -i eth0 -w - | dumpcap -r - -w capture.pcap

9. 使用 editcap 修改捕获文件

捕获完成后发现时间戳有误？或希望裁剪特定时间段的包？editcap 专为此设计，可调整时间戳、拆分文件、截取片段，轻松应对各种需求。

sudo editcap -t  capture.pcap

10. 使用 mergecap 合并多个捕获文件

有时从不同网卡或不同时段捕获了多个 pcap 文件，最终需要合并为统一文件进行分析。用 mergecap 按时间顺序合并，干净利落。

sudo mergecap -w merged_capture.pcap capture1.pcap capture2.pcap

以上组合基本涵盖了从数据包捕获到后处理的常见需求。在实际应用中，可根据场景灵活搭配——例如，抓包+轮转+后台脚本自动分析，或将 dumpcap 作为轻量级的“数据包传送者”供给其他定制工具。网络流量分析涉及诸多技巧，但熟练掌握这些基础配合，已能应对大部分实际问题。