我正在使用RawCap来捕获从我的开发机器(一个应用程序)发送到自身(另一个应用程序)的数据包。我可以把它写成一个像这样的文件:
RawCap.exe 192.168.125.50 piratedPackets.pcap
...然后在Wireshark中打开* .pcap文件以检查详细信息。当我从Postman调用我的REST方法时,这有效,但是当使用Fiddler的Composer选项卡尝试相同时,* .pcap文件最终为空。我想这可能是因为我关闭RawCap的方式本身就是原始的 - 我只是关闭了命令提示符。打字“退出”在忙于捕捉时什么都不做。
如果在掠夺战利品之前捕获的数据包沉入海底,我怎样才能像现代的Mansel Alcantra一样?我怎样才能优雅地关闭RawCap,以便(希望)将其内容保存到日志(* .pcap)文件中?
答案 0 :(得分:7)
通过点击Ctrl + C优雅地关闭RawCap。这样做会将所有数据包从内存清除到磁盘。
你也可以告诉RawCap只捕获一定数量的数据包(使用-c参数)或在一定秒数后结束嗅探(使用-s参数)。
这是一个使用-s来嗅探60秒的例子:
RawCap.exe -s 60 192.168.125.50 piratedPackets.pcap
最后,如果上述方法都不适合您,那么您可能想要使用-f开关。通过使用-f,所有捕获的数据包将立即刷新到磁盘。但是,这会对性能产生影响,因此在使用-f开关进行嗅探时,丢失/丢弃数据包的风险会更大。
您可以运行RawCap.exe --help来显示可用的命令行参数。它们也在这里记录:
http://www.netresec.com/?page=RawCap