使用dumpcap非常简单:指定想要从中捕获数据的网卡,就可以开始了。也可以写入一个特定的文件名,或者创建多个有限大小的文件来保存抓到的数据包。Win + R 打开命令行,在命令提示符下切换到Wireshark安装目录。
“dumpcap -i 4 -w F:Test.pcapng -b filesize:5000 ” 我本机接口列表中的第四个接口,数据包文件保存在F:Test.pcapng,文件大小为5000KB,达到这个值后就会自动创建下一个文件,单个文件大小设置不超过2G.
dumpcap 参数如下:
输入 dumpcap -help 查看其帮助,如图所示:
捕获接口:
-i <interface>
接口的名称或idx(定义:第一个非环回),
或者,对于远程捕获,请使用以下格式之一:
rpcap://<host>/<interface>
TCP@<host>:<port>
本例为本地第四个接口,接口可以通过下文中的 dumpcap -D 查看自己电脑的接口列表。
-f<capture filter>
libpcap filter语法中的包过滤器
-s<snaplen>
数据包快照长度(def:适当的最大值)
-p
不要在滥交模式下捕捉
-l
在监视器模式下捕获(如果可用)
-B<缓冲区大小>
MiB中的内核缓冲区大小(def:2MiB)
-y<链接类型>
链接层类型(定义:第一个合适的)
--接口的时间戳类型<type>时间戳方法
-D
打印接口列表并退出
-l
打印iface和exit的链接层类型列表
--列出时间戳类型打印iface和exit的时间戳类型列表
-d
为捕获筛选器打印生成的BPF代码
-k
在wifi接口上设置频道:
<freq>,[<type>],[<center_freq1>],[<center_freq2>]
-S
每秒打印一次每个接口的统计信息
-M
对于-D、-L和-S,生成机器可读的输出
RPCAP选项:
-r
捕获时不要忽略自己的RPCAP流量
-U
使用UDP进行RPCAP数据传输
-A<user>:<password>
使用RPCAP密码验证
-m<采样类型>
使用数据包采样
计数:NUM-每个NUM捕获一个包
计时器:NUM-在NUM ms内捕获不超过1个数据包
停止条件:
-c<包计数>
n包后停止(def:infinite)
-自动停止条件>。。。
持续时间:NUM-NUM秒后停止
文件大小:NUM-在NUM kB之后停止此文件
文件:NUM-在NUM个文件之后停止
数据包:NUM-NUM包后停止
输出(文件):
-w<filename>
要保存的文件名(def:tempfile)
-g
对输出文件启用组读取权限
-b<ringbuffer选项>。。。
持续时间:NUM-在NUM秒后切换到下一个文件
间隔:NUM-创建NUM secs的时间间隔
文件大小:NUM-在NUM kB之后切换到下一个文件
文件:NUM-环形缓冲区:在NUM个文件之后替换
数据包:NUM-ringbuffer:在NUM个包之后替换
-n
使用pcapng格式而不是pcap(默认)
-P
使用libpcap格式而不是pcapng
--捕捉评论<comment>
向输出文件添加捕获注释(仅适用于pcapng)
其他:
-N<packet_限制>
dumpcap中缓冲的最大数据包数
-C<byte_限制>
用于在dumpcap中缓冲数据包的最大字节数
-t
每个接口使用单独的线程
-q
不报告数据包捕获计数
-v
打印版本信息并退出
-h
显示此帮助并退出
扫一扫
5109
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
