如何优雅地关闭 RawCap?

【问题标题】:How can I gracefully shut down RawCap?如何优雅地关闭 RawCap?
【发布时间】:2014-11-03 10:20:12
【问题描述】:

我正在使用RawCap 来捕获从我的开发机器(一个应用程序)发送到它自己(另一个应用程序)的数据包。我可以让它像这样将捕获写入文件:

RawCap.exe 192.168.125.50 piratedPackets.pcap

...然后在 Wireshark 中打开 *.pcap 文件以检查详细信息。这在我从 Postman 调用我的 REST 方法时有效,但是当使用 Fiddler 的 Composer 选项卡尝试相同时,*.pcap 文件最终为空。我认为这可能是因为我关闭 RawCap 的方式本身相当原始 - 我只是关闭了命令提示符。在忙于捕获时,键入“exit”没有任何作用。

如果我在掠夺战利品之前捕获的数据包沉入海底,我怎么能像现代的 Mansel Alcantra 一样?如何优雅地关闭 RawCap 以便它(希望)将其内容保存到日志 (*.pcap) 文件中?

【问题讨论】:

    标签: fiddler pcap packet-sniffers analyzer postman


    【解决方案1】:

    RawCap 通过点击Ctrl + C 优雅地关闭。这样做会将所有数据包从内存刷新到磁盘。

    您还可以告诉 RawCap 仅捕获特定数量的数据包(使用 -c 参数)或在特定秒数后结束嗅探(使用 -s 参数)。 这是一个使用 -s 嗅探 60 秒的示例:

    RawCap.exe -s 60 192.168.125.50 piratedPackets.pcap

    最后,如果以上方法都不适合您,那么您可能想使用-f 开关。通过使用-f,所有捕获的数据包将立即刷新到磁盘。但是,这会影响性能,因此在使用 -f 开关进行嗅探时,丢失/丢弃数据包的风险更大。

    您可以运行RawCap.exe --help 来显示可用的命令行参数。它们也记录在这里: http://www.netresec.com/?page=RawCap

    【讨论】:

    • 我在该页面的任何地方或直接链接到它的任何页面上都没有看到讨论的命令行参数。
    • ...另外,刚刚从 mingw32 shell 中尝试过,并且 ctrl-c 没有刷新文件。在切换到使用 Windows cmd.exe 之前,我得到了空的转储文件。
    • @t-e-d:您可以通过以管理员身份启动 cmd.exe 并运行RawCap.exe --help来查看所有可用的命令行参数
    猜你喜欢
    • 2014-12-01
    • 1970-01-01
    • 1970-01-01
    • 2010-11-04
    • 2015-06-25
    • 2013-04-27
    • 1970-01-01
    • 1970-01-01
    • 2022-07-12
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode