Este es el comando dumpcap que se puede ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
dumpcap - Volcar tráfico de red
SINOPSIS
volquete [ -a ] ... [ -b ] ...
[ -B ] [ -c ] [ -C ] [ -d ]
[ -D ] [ -f ] [ -g ] [ -h ]
[ -i | rpcap: // / | TCP @ : | -] [ -I ]
[ -L ] [ -M ] [ -n ] [ -N ] [ -p ] [ -P ] [ -q ] [ -s ]
[ -S ] [ -t ] [ -v ] [ -w ] [ -y ]
[ --captura-comentario ]
DESCRIPCIÓN
Volquete es una herramienta de volcado de tráfico de red. Le permite capturar datos de paquetes de una
red y escriba los paquetes en un archivo. VolqueteEl formato de archivo de captura predeterminado es pcap-ng
formato. Cuando el -P se especifica la opción, el archivo de salida se escribe en la pcap formato.
Sin ningún conjunto de opciones, utilizará la biblioteca libpcap / WinPcap para capturar el tráfico de
la primera interfaz de red disponible y escribe los datos del paquete sin procesar recibidos, junto con
las marcas de tiempo de los paquetes en un archivo pcap.
Si -w la opción no está especificada, Volquete escribe en un archivo pcap recién creado con un
nombre elegido al azar. Si el -w se especifica la opción, Volquete escribe en el archivo especificado
por esa opción.
La captura de paquetes se realiza con la biblioteca pcap. La sintaxis del filtro de captura sigue
las reglas de la biblioteca pcap.
OPCIONES
-a
Especifique un criterio que especifique cuándo Volquete es dejar de escribir en un archivo de captura.
El criterio es de la forma test:propuesta de, donde el test es uno de:
duración:propuesta de Deje de escribir en un archivo de captura después propuesta de Han transcurrido unos segundos.
tamaño del archivo:propuesta de Deje de escribir en un archivo de captura después de que alcance un tamaño de propuesta de kB. Si
esta opción se usa junto con la opción -b, dumpcap dejará de escribir en el
archivo de captura actual y cambie al siguiente si se alcanza. Tenga en cuenta que el
está limitado a un valor máximo de 2 GiB.
archivos:propuesta de Deje de escribir para capturar archivos después propuesta de se escribieron varios archivos.
-B
Causa Volquete para ejecutarse en modo "varios archivos". En el modo "varios archivos", Volquete will
escribir en varios archivos de captura. Cuando se llena el primer archivo de captura, Volquete will
cambiar la escritura al siguiente archivo y así sucesivamente.
Los nombres de archivo creados se basan en el nombre de archivo dado con el -w opción, el número
del archivo y en la fecha y hora de creación, por ejemplo, outfile_00001_20050604120117.pcap,
outfile_00002_20050604120523.pcap, ...
Con la archivos opción también es posible formar un "búfer de anillo". Esto se llenará
archivos nuevos hasta la cantidad de archivos especificada, momento en el que Volquete descartará el
datos en el primer archivo y empezar a escribir en ese archivo y así sucesivamente. Si el archivos opción
no está configurado, los archivos nuevos se llenan hasta que una de las condiciones de detención de captura coincida (o
hasta que el disco esté lleno).
El criterio es de la forma clave:propuesta de, donde el clave es uno de:
duración:propuesta de cambiar al siguiente archivo después propuesta de han transcurrido los segundos, incluso si el
El archivo actual no está completamente lleno.
tamaño del archivo:propuesta de cambiar al siguiente archivo después de que alcance un tamaño de propuesta de kB. Tenga en cuenta que
el está limitado a un valor máximo de 2 GiB.
archivos:propuesta de empezar de nuevo con el primer archivo después propuesta de número de archivos se escribieron
(formar un búfer de anillo). Este valor debe ser menor que 100000. Se debe tener precaución
cuando se utilizan grandes cantidades de archivos: algunos sistemas de archivos no manejan muchos archivos en una
solo directorio bien. los archivos el criterio requiere ya sea duración or tamaño del archivo para ser
especificado para controlar cuándo ir al siguiente archivo. Cabe señalar que cada -b
el parámetro toma exactamente un criterio; para especificar dos criterios, cada uno debe estar precedido
según el -b .
Ejemplo: -b 1000: XNUMX -b archivos: 5 da como resultado un búfer circular de cinco archivos de tamaño
un megabyte cada uno.
-B
Establezca el tamaño del búfer de captura (en MiB, el valor predeterminado es 2 MiB). Esto es utilizado por la captura.
controlador para almacenar en búfer los datos del paquete hasta que esos datos se puedan escribir en el disco. Si te encuentras
el paquete cae durante la captura, intente aumentar este tamaño. Tenga en cuenta que, mientras Volquete
intenta establecer el tamaño del búfer en 2 MiB de forma predeterminada, y se le puede indicar que lo establezca en un
mayor valor, el sistema o la interfaz en la que está capturando podría limitar silenciosamente
el tamaño del búfer de captura a un valor más bajo o subirlo a un valor más alto.
Está disponible en sistemas UNIX con libpcap 1.0.0 o posterior y en Windows. Está
no disponible en sistemas UNIX con versiones anteriores de libpcap.
Esta opción puede ocurrir varias veces. Si se usa antes de la primera aparición del -i
opción, establece el tamaño del búfer de captura predeterminado. Si se usa después de un -i opción, establece
el tamaño del búfer de captura para la interfaz especificada por el último -i opción que ocurre
antes de esta opción. Si el tamaño del búfer de captura no se establece específicamente, el valor predeterminado
En su lugar, se utiliza el tamaño del búfer de captura.
-C
Establezca la cantidad máxima de paquetes que se leerán al capturar datos en vivo.
-C
Limite la cantidad de memoria en bytes utilizada para almacenar paquetes capturados en la memoria mientras
procesándolo. Si se usa en combinación con el -N opción, se aplicarán ambos límites.
Establecer este límite permitirá el uso de subprocesos separados por interfaz.
-d Vierta el código generado para el filtro de captura en una forma legible por humanos y salga.
-D Imprime una lista de las interfaces en las que Volquete puede capturar y salir. Para cada
interfaz de red, un número y un nombre de interfaz, posiblemente seguido de un texto
se imprime la descripción de la interfaz. El nombre de la interfaz o el número puede ser
suministrado al -i opción para especificar una interfaz en la que capturar.
Esto puede ser útil en sistemas que no tienen un comando para listarlos (p. Ej., Windows
sistemas o sistemas UNIX que carecen Ifconfig -a); el número puede ser útil en Windows
2000 y sistemas posteriores, donde el nombre de la interfaz es una cadena algo compleja.
Tenga en cuenta que "puede capturar" significa que Volquete fue capaz de abrir ese dispositivo para hacer un live
capturar. Dependiendo de su sistema, es posible que deba ejecutar dumpcap desde una cuenta con
privilegios especiales (por ejemplo, como root) para poder capturar el tráfico de la red. Si
"volquete -D"no se ejecuta desde una cuenta de este tipo, no enumerará ninguna interfaz.
-F
Establezca la expresión del filtro de captura.
La expresión de filtro completa debe especificarse como un solo argumento (lo que significa que
si contiene espacios, se debe citar).
Esta opción puede ocurrir varias veces. Si se usa antes de la primera aparición del -i
opción, establece la expresión de filtro de captura predeterminada. Si se usa después de un -i opción, es
establece la expresión de filtro de captura para la interfaz especificada por el último -i opción
ocurriendo antes de esta opción. Si la expresión del filtro de captura no está configurada
específicamente, se utiliza la expresión de filtro de captura predeterminada si se proporciona.
-g Esta opción hace que los archivos de salida se creen con permiso de lectura en grupo
(lo que significa que los archivos de salida pueden ser leídos por otros miembros del usuario que llama
grupo).
-h Imprime la versión, opciones y salidas.
-I | rpcap: // / | TCP @ : | -
Establezca el nombre de la interfaz de red o canalización que se utilizará para la captura de paquetes en vivo.
Los nombres de las interfaces de red deben coincidir con uno de los nombres enumerados en "volquete -D"
(descrito arriba); un número, según lo informado por "volquete -D", también se puede utilizar. Si está
usando UNIX, "netstat -i"O"Ifconfig -a"también podría funcionar para enumerar los nombres de las interfaces,
aunque no todas las versiones de UNIX admiten la -a opción de Ifconfig.
Si no se especifica ninguna interfaz, Volquete busca en la lista de interfaces, eligiendo el
primera interfaz sin bucle invertido si hay alguna interfaz sin bucle invertido, y elegir
la primera interfaz de bucle invertido si no hay interfaces que no sean de bucle invertido. Si no hay
interfaces en absoluto, Volquete informa de un error y no inicia la captura.
Los nombres de las tuberías deben ser el nombre de una FIFO (tubería con nombre) o `` - '' para leer los datos.
la entrada estándar. Los datos leídos de las tuberías deben estar en formato pcap estándar.
Esta opción puede ocurrir varias veces. Al capturar desde múltiples interfaces, el
El archivo de captura se guardará en formato pcap-ng.
Nota: la versión Win32 de Volquete no admite la captura desde tuberías o stdin.
-Pongo la interfaz en "modo monitor"; esto solo es compatible con IEEE 802.11 Wi-Fi
interfaces, y solo es compatible con algunos sistemas operativos.
Tenga en cuenta que en el modo de monitor, el adaptador puede disociarse de la red con la que
está asociado, por lo que no podrá utilizar ninguna red inalámbrica con ese
adaptador. Esto podría evitar el acceso a archivos en un servidor de red o la resolución de host
nombres o direcciones de red, si está capturando en modo monitor y no está conectado
a otra red con otro adaptador.
Esta opción puede ocurrir varias veces. Si se usa antes de la primera aparición del -i
opción, habilita el modo monitor para todas las interfaces. Si se usa después de un -i opción,
habilita el modo monitor para la interfaz especificada por el último -i opción
ocurriendo antes de esta opción.
-L Enumere los tipos de enlace de datos admitidos por la interfaz y salga. Los tipos de enlaces informados
se puede utilizar para el -y .
-M Cuando se usa con -D, -L or -S, imprime una salida legible por máquina. La máquina legible
La salida está destinada a ser leída por Wireshark y Tiburón; su formato está sujeto a cambios
de lanzamiento a lanzamiento.
-n Guarda archivos como pcap-ng. Este es el predeterminado.
-NORTE
Limite la cantidad de paquetes utilizados para almacenar paquetes capturados en la memoria mientras
procesándolo. Si se usa en combinación con el -C opción, se aplicarán ambos límites.
Establecer este límite permitirá el uso de subprocesos separados por interfaz.
-p No poner la interfaz en modo promiscuo. Tenga en cuenta que la interfaz puede estar en
modo promiscuo por alguna otra razón; por eso, -p no se puede utilizar para garantizar que el
sólo el tráfico que se captura es el tráfico enviado hacia o desde la máquina en la que Volquete
se está ejecutando, transmite tráfico y tráfico de multidifusión a las direcciones recibidas por ese
maquina
Esta opción puede ocurrir varias veces. Si se usa antes de la primera aparición del -i
opción, ninguna interfaz se pondrá en modo promiscuo. Si se usa después de un -i
opción, la interfaz especificada por el último -i opción que ocurre antes de esta opción
no se pondrá en modo promiscuo.
-P Guarda archivos como pcap en lugar del pcap-ng predeterminado. En situaciones que requieran pcap-ng,
como capturar desde múltiples interfaces, esta opción será anulada.
-q Al capturar paquetes, no muestre el recuento continuo de paquetes capturados que es
normalmente se muestra al guardar una captura en un archivo; en su lugar, solo mostrar, al final de
la captura, un recuento de paquetes capturados. En sistemas que soportan la señal SIGINFO,
como varios BSD, puede hacer que se muestre el recuento actual escribiendo su
carácter de "estado" (normalmente control-T, aunque podría estar configurado como "deshabilitado" por
predeterminado en al menos algunos BSD, por lo que tendría que configurarlo explícitamente para usarlo).
-s
Establezca la longitud predeterminada de la instantánea que se utilizará al capturar datos en vivo. No más que Snaplen
Los bytes de cada paquete de red se leerán en la memoria o se guardarán en el disco. Un valor de 0
especifica una longitud de instantánea de 65535, para que se capture el paquete completo; este es el
predeterminada.
Esta opción puede ocurrir varias veces. Si se usa antes de la primera aparición del -i
opción, establece la longitud predeterminada de la instantánea. Si se usa después de un -i opción, establece la
longitud de la instantánea para la interfaz especificada por el último -i opción que ocurre antes
esta opción. Si la longitud de la instantánea no se establece específicamente, la instantánea predeterminada
se utiliza la longitud si se proporciona.
-S Imprimir estadísticas para cada interfaz una vez por segundo.
-t Usa un hilo separado por interfaz.
-v Imprime la versión y sal.
-w
Escriba datos de paquetes sin procesar en archivar. Utilice "-" para stdout.
-y
Configure el tipo de enlace de datos que se utilizará al capturar paquetes. Los valores informados por -L están
los valores que se pueden utilizar.
Esta opción puede ocurrir varias veces. Si se usa antes de la primera aparición del -i
opción, establece el tipo de enlace de captura predeterminado. Si se usa después de un -i opción, establece
el tipo de enlace de captura para la interfaz especificada por el último -i opción que ocurre
antes de esta opción. Si el tipo de enlace de captura no se establece específicamente, el valor predeterminado
Se utiliza el tipo de enlace de captura si se proporciona.
--capture-comment
Agregue un comentario de captura al archivo de salida.
Esta opción solo está disponible si exportamos los paquetes capturados a un solo archivo en
formato pcap-ng. Solo se puede establecer un comentario de captura por archivo de salida.
CAPTURAR FILTRO SINTAXIS
Consulte la página del manual de filtro pcap(7) o, si eso no existe, tcpdump(8), o, si eso
no existe .
Use dumpcap en línea usando los servicios de onworks.net
