wireshark是一款非常好用的抓包工具,一般可直接通过界面配置方式进行抓包。
当需要长时间进行抓包时,可利用dumpcap.exe工具并设置抓包条件进行抓包。
主要分为一下三步:
1. 进入wireshark目录
cd d:\wireshark
2. 查看抓包网卡
dumpcap.exe -D
3. 进行抓包
dumpcap.exe -i 1(网卡)-s 0(长度)-B 256(缓存) filesize:100000(大小) -w f:\1.pcap(路径) -f "host 1.2.3.4"(过滤条件)
二、使用editcap.exe 分割包
1、按照包数切割-命令:
在Wireshark同级目录运行命令窗口:editcap.exe -c <每个文件的包数> <源文件名> <目的文件名>
2、按照包数切割-样例:
editcap.exe -c 10000 d:\src.pcapng D:\out.pcapng
按照个文件10000个包进行分割。
3、按照包数切割-效果:
4、按照包数切割-命令:
在Wireshark同级目录运行命令窗口:editcap.exe –i <每个文件时长,单位:s> <源文件名> <目的文件名>
5、按照包数切割-样例:
editcap.exe -i 10 d:\src.pcapng d:out.pcapng
按照10s一个文件切割。
三、tshark.exe详解
https://blog.csdn.net/cpongo3/article/details/93995895
四、text2pcap: 将hex转储文本转换为Wireshark可打开的pcap文件
https://www.cnblogs.com/yurang/p/11082343.html
https://wenku.baidu.com/view/941a41be4693daef5ef73df8.html