Dumpcap抓包解决Whireshark抓包内存不足问题

使用dumpcap非常简单:指定想要从中捕获数据的网卡，就可以开始了。也可以写入一个特定的文件名，或者创建多个有限大小的文件来保存抓到的数据包。Win + R 打开命令行，在命令提示符下切换到Wireshark安装目录。

“dumpcap -i 4 -w F:Test.pcapng -b filesize:5000  ”  我本机接口列表中的第四个接口，数据包文件保存在F:Test.pcapng，文件大小为5000KB，达到这个值后就会自动创建下一个文件，单个文件大小设置不超过2G.

dumpcap 参数如下：

输入 dumpcap -help 查看其帮助，如图所示：

捕获接口：

  -i <interface>

接口的名称或idx（定义：第一个非环回），

或者，对于远程捕获，请使用以下格式之一：

rpcap://<host>/<interface>

TCP@<host>：<port>

本例为本地第四个接口，接口可以通过下文中的 dumpcap -D 查看自己电脑的接口列表。

-f<capture filter>

libpcap filter语法中的包过滤器

-s<snaplen>

数据包快照长度（def：适当的最大值）

-p

不要在滥交模式下捕捉

-l

在监视器模式下捕获（如果可用）

-B<缓冲区大小>

MiB中的内核缓冲区大小（def:2MiB）

-y<链接类型>

链接层类型（定义：第一个合适的）

--接口的时间戳类型<type>时间戳方法

-D

打印接口列表并退出

-l

打印iface和exit的链接层类型列表

--列出时间戳类型打印iface和exit的时间戳类型列表

-d

为捕获筛选器打印生成的BPF代码

-k

在wifi接口上设置频道：

<freq>，[<type>]，[<center_freq1>]，[<center_freq2>]

-S

每秒打印一次每个接口的统计信息

-M

对于-D、-L和-S，生成机器可读的输出

RPCAP选项：

-r

捕获时不要忽略自己的RPCAP流量

-U

使用UDP进行RPCAP数据传输

-A<user>：<password>

使用RPCAP密码验证

-m<采样类型>

使用数据包采样

计数：NUM-每个NUM捕获一个包

计时器：NUM-在NUM ms内捕获不超过1个数据包

停止条件：

-c<包计数>

n包后停止（def:infinite）

-自动停止条件>。。。

持续时间：NUM-NUM秒后停止

文件大小：NUM-在NUM kB之后停止此文件

文件：NUM-在NUM个文件之后停止

数据包：NUM-NUM包后停止

输出（文件）：

-w<filename>

要保存的文件名（def:tempfile）

-g

对输出文件启用组读取权限

-b<ringbuffer选项>。。。

持续时间：NUM-在NUM秒后切换到下一个文件

间隔：NUM-创建NUM secs的时间间隔

文件大小：NUM-在NUM kB之后切换到下一个文件

文件：NUM-环形缓冲区：在NUM个文件之后替换

数据包：NUM-ringbuffer：在NUM个包之后替换

-n

使用pcapng格式而不是pcap（默认）

-P

使用libpcap格式而不是pcapng

--捕捉评论<comment>

向输出文件添加捕获注释（仅适用于pcapng）

其他：

-N<packet_限制>

dumpcap中缓冲的最大数据包数

-C<byte_限制>

用于在dumpcap中缓冲数据包的最大字节数

-t

每个接口使用单独的线程

-q

不报告数据包捕获计数

-v

打印版本信息并退出

-h

显示此帮助并退出