2

我正在使用RawCap捕获从我的开发机器(一个应用程序)发送到自身(另一个应用程序)的数据包。我可以让它将捕获写入文件,如下所示:

RawCap.exe 192.168.125.50 piratedPackets.pcap

...然后在 Wireshark 中打开 *.pcap 文件以检查详细信息。这在我从 Postman 调用我的 REST 方法时有效,但是当使用 Fiddler 的 Composer 选项卡尝试相同时,*.pcap 文件最终为空。我认为这可能是因为我关闭 RawCap 的方式本身相当原始 - 我只是关闭了命令提示符。在忙于捕获时,键入“exit”没有任何作用。

如果我在掠夺战利品之前捕获的数据包沉入海底,我怎么能像现代的 Mansel Alcantra 一样?如何优雅地关闭 RawCap 以便它(希望)将其内容保存到日志 (*.pcap) 文件中?

4

1 回答 1

8

RawCap 通过点击 优雅地关闭Ctrl + C。这样做会将所有数据包从内存刷新到磁盘。

您还可以告诉 RawCap 仅在数据包(使用-c参数)或在特定秒数(使用-s参数)后结束嗅探时捕获特定数量。这是一个使用 -s 嗅探 60 秒的示例:

RawCap.exe -s 60 192.168.125.50 piratedPackets.pcap

最后,如果以上方法都不适合您,那么您可能想要使用-f开关。通过使用-f所有捕获的数据包将立即刷新到磁盘。但是,这会对性能产生影响,因此在使用 -f 开关进行嗅探时,丢失/丢弃数据包的风险更大。

您可以运行RawCap.exe --help以显示可用的命令行参数。它们也记录在这里: http ://www.netresec.com/?page=RawCap

于 2014-09-10T07:24:35.483 回答