wireshark支持命令行抓包和停止抓包

C:\Documents and Settings\Administrator>wireshark  -h

Wireshark 1.8.6 (SVN Rev 48142 from /trunk-1.8)

Interactively dump and analyze network traffic.

See http://www.wireshark.org for more information.

Copyright 1998-2013 Gerald Combs <gerald@wireshark.org> and contributors.

This is free software; see the source for copying conditions. There is NO

warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.

Usage: wireshark [options] ... [ <infile> ]

Capture interface:

  -i <interface>           name or idx of interface (def: first non-loopback)

  -f <capture filter>      packet filter in libpcap filter syntax

  -s <snaplen>             packet snapshot length (def: 65535)

  -p                       don't capture in promiscuous mode

  -k                       start capturing immediately (def: do nothing)

  -S                       update packet display when new packets are captured

  -l                       turn on automatic scrolling while -S is in use

  -B <buffer size>         size of kernel buffer (def: 1MB)

  -y <link type>           link layer type (def: first appropriate)

  -D                       print list of interfaces and exit

  -L                       print list of link-layer types of iface and exit

Capture stop conditions:

  -c <packet count>        stop after n packets (def: infinite)

  -a <autostop cond.> ...  duration:NUM - stop after NUM seconds

                           filesize:NUM - stop this file after NUM KB

                              files:NUM - stop after NUM files

Capture output:

  -b <ringbuffer opt.> ... duration:NUM - switch to next file after NUM secs

                           filesize:NUM - switch to next file after NUM KB

                              files:NUM - ringbuffer: replace after NUM files

Input file:

  -r <infile>              set the filename to read from (no pipes or stdin!)

Processing:

  -R <read filter>         packet filter in Wireshark display filter syntax

  -n                       disable all name resolutions (def: all enabled)

  -N <name resolve flags>  enable specific name resolution(s): "mntC"

User interface:

  -C <config profile>      start with specified configuration profile

  -d <display filter>      start with the given display filter

  -g <packet number>       go to specified packet number after "-r"

  -J <jump filter>         jump to the first packet matching the (display)

                           filter

  -j                       search backwards for a matching packet after "-J"

  -m <font>                set the font name used for most text

  -t ad|a|r|d|dd|e         output format of time stamps (def: r: rel. to first)

  -u s|hms                 output format of seconds (def: s: seconds)

  -X <key>:<value>         eXtension options, see man page for details

  -z <statistics>          show various statistics, see man page for details

Output:

  -w <outfile|->           set the output filename (or '-' for stdout)

Miscellaneous:

  -h                       display this help and exit

  -v                       display version info and exit

  -P <key>:<path>          persconf:path - personal configuration files

                           persdata:path - personal data files

  -o <name>:<value> ...    override preference or recent setting

  -K <keytab>              keytab file to use for kerberos decryption

例子：

wireshark  -k -c 1000 -a duration:30 -w d:\\123.pcap