(wireshark)dumpcap and mergecp详细介绍.pptx

Wireshark自带小工具dumpcap And mergecap功能及使用方法介绍 Author by Jodie 2012-8-9Dumpcap介绍Dumpcap - Dump network trafficDumpcap is a network traffic dump tool. It lets you capture packet data from a live network and write the packets to a file. Dumpcaps default capture file format is pcap-ng format. When the -P option is specified, the output file is written in the libpcap format.Dumpcap can be run independently from Wireshark to capture packets to a file or series of files on disk, and makes for an efficient long-term capture solution. Further, like tcpdump, it is built on the libpcap library and uses the same capture filter syntax.简单介绍dumpcap的使用方法：在需要长时间大并发量抓包的时候使用dumpcap比使用wireshrak抓包更加节省资源，内存消耗较少。1.dumpcap其实是wireshrak自带的小工具之一，所以使用dumpcap的前提是需要先安装了wireshrak。2.点击开始—运行—cmd,进入DOS窗口，dos 命令进入wireshrak的安装目录下(例如C:\Program Files\Wireshark)示例1：利用dumpcap抓取网卡Intel(R) 82567LM-3 Gigabit Network Connection 上的封包并保存到E:\test目录下 包名称为1.capdumpcap -i \Device\NPF_{845A7019-B29D-4B35-BD9B-8220DA6221AE} -w E:\test\1.cap如果要停止抓包 Ctrl+C就可以了? -i 指定抓取的网卡接口 注意在写命令的时候要写设备名，而不是网卡显示的名称。具体设备名称可以利用wireshark工具的Options功能查看到? -w 指定封包的存储路径以及封包名称命名，如果不指定会有自动生成一串名称。示例1里面的关于网卡接口的问题，还有更方便的方法，如下图：-D 打印目前机器上的网卡信息的每块网卡会打印出序号和接口名，抓包的时候直接输入网卡的序号就可以了，这样就不用输入 一长串接口名。示例2：利用dumpcap抓取网卡Intel(R) 82567LM-3 Gigabit Network Connection 上的封包并保存到E:\test目录下 包名称为2.cap ，每隔100M切档dumpcap -i \Device\NPF_{845A7019-B29D-4B35-BD9B-8220DA6221AE} -b filesize:102400 -w E:\test\2.cap-b capture ring buffer option duration:NUM - switch to next file after NUM secsfilesize:NUM - switch to next file after NUM KBfiles:NUM - ringbuffer: replace after NUM files示例3：利用dumpcap抓取网卡Intel(R) 82567LM-3 Gigabit Network Connection 上网段的封包并保存到E:\test目录下命名为sef.capdumpcap -i \Device\NPF_{845A7019-B29D-4B35-BD9B-8220DA6221AE} -w E:\test\sef.cap -f net mask -f packet filter in libpcap filter syntax 还可以抓取多个网段，中间用or 连接，具体命令如图Dumpcap参数列表抓包过滤规则简单介绍此工具抓包的过滤规则跟wireshrak是相同的，下面列举一些规则，可以自己搭配dumpcap练习操作Dumpcap更多知识参考连接：/docs/mans/dumpcap.html/docs/mans/dumpcap.html/docs/wsu