Comment puis-je fermer RawCap?

Question

J'utilise RawCap pour capturer des paquets envoyés depuis ma machine de développement (une application) vers elle-même (une autre application). Je peux l'obtenir pour écrire les captures dans un fichier comme ceci:

RawCap.exe 192.168.125.50 piratedPackets.pcap 

... puis ouvrez le fichier * .pcap dans Wireshark pour examiner les détails. Cela a fonctionné quand j'ai appelé ma méthode REST de Postman, mais en utilisant l'onglet Fiddler's Composer pour faire la même chose, le fichier * .pcap finit par être vide. Je pense que c'est peut-être parce que ma façon de fermer RawCap était plutôt brute - j'ai simplement fermé l'invite de commande. Taper "exit" ne fait rien pendant qu'il est occupé à capturer.

Comment puis-je faire comme un Mansel Alcantra moderne si les paquets capturés coulent au fond de l'océan avant de pouvoir piller le butin? Comment puis-je fermer RawCap de manière à ce qu'il sauve (espérons-le) son contenu dans le fichier journal (* .pcap)?

Answer 1

RawCap est gracieusement fermé en appuyant sur Ctrl + C. Cela effacera tous les paquets de la mémoire vers le disque.

Vous pouvez également dire RawCap pour capturer seulement un certain nombre si des paquets (en utilisant l'argument -c) ou mettre fin à renifler après un certain nombre de secondes (en utilisant l'argument -s). est ici un exemple en utilisant -s à renifler pendant 60 secondes:

RawCap.exe -s 60 192.168.125.50 piratedPackets.pcap

Enfin, si aucune des méthodes ci-dessus est disponible pour vous, alors vous voudrez peut-être utiliser l'interrupteur -f. En utilisant -f, tous les paquets capturés seront immédiatement vidés sur le disque. Cependant, cela a un impact sur les performances, de sorte que vous courez un plus grand risque de manquer/laisser tomber des paquets en reniflant avec le commutateur -f.

Vous pouvez exécuter RawCap.exe --help pour afficher les arguments de ligne de commande disponibles. Ils sont également documentés ici: http://www.netresec.com/?page=RawCap