начать запись с командной строки в формате libpcap

Question

Я пытаюсь начать запись с помощью Wireshark с использованием командной строки, но выходной файл по умолчанию - pcap, но Wireshark - pcapng тип файла, и мне нужен libpcap тип файла. Моя команда

tshark.exe" -i interfacenumber -W MyFile.pcap 

Я также попытался

tshark.exe" -i 1 -F libpcap -W MyFile.pcap 

и в этом случае файл не создан на моем диске, хотя я могу увидеть пакеты в окне командной строки

Answer 1

tshark.exe -i 1 -F libpcap -w MyFile.pcap` 

является правильный ответ (обратите внимание на нижний регистр «w»).

(-W делает что-то другое. Есть много вариантов tshark, поэтому вам нужно внимательно посмотреть на выходе tshark -h, чтобы убедиться, что вы используете правильный вариант).

Answer 2

Поскольку опция -F libpcap не работает для меня тоже, я использую другой инструмент командной строки в том же каталоге:

editcap -F libpcap currentFile.pcap(ng) libpcapConvertedFile.pcap где «currentFile.whatever» является pcapng отформатированный файл и «libpcapConvertedFile.whatever "- это выходной формат libpcap.

Я запускаю этот раз, когда tshark выполняется, захватывая исходный файл.

Answer 3

Я думаю, что в новейших версиях Wireshark (1.8.x или 1.10.x) вы не можете начать запись в libpcap format и формат по умолчанию pcapng (также PCAP расширение - попробуйте использовать Verion 1.6.x) Вот что решить моя проблема

http://www.wireshark.org/download/win64/all-versions/

http://www.wireshark.org/download/win32/all-versions/