我尝试使用命令行开始使用Wireshark捕获,但默认输出文件是pcap扩展名,但Wireshark - pcapng文件类型,我需要libpcap文件类型。
我的命令是
tshark.exe" -i interfacenumber -W MyFile.pcap
我也试过
tshark.exe" -i 1 -F libpcap -W MyFile.pcap
并且在这种情况下,虽然我可以在命令行窗口中看到数据包,但我的磁盘上没有创建文件
答案 0 :(得分:2)
tshark.exe -i 1 -F libpcap -w MyFile.pcap`
是正确答案(注意小写'w')。
(-W做了不同的事情。有很多tshark选项,所以你需要仔细查看tshark -h输出以确保使用正确的选项。
答案 1 :(得分:0)
由于-F libpcap选项对我来说也不起作用,我在同一目录中使用另一个命令行工具:
editcap -F libpcap currentFile.pcap(ng) libpcapConvertedFile.pcap其中“currentFile.whatever”是pcapng格式的文件,“libpcapConvertedFile.whatever”是输出的旧版libpcap格式。
一旦tshark完成捕获原始文件,我就会运行它。
答案 2 :(得分:0)
我认为在最新的Wireshark版本(1.8.x或1.10.x)中,您无法以libpcap format开始捕获,默认格式为pcapng(也是pcap扩展 - 尝试使用版本1.6.x)
这就是解决我的问题的原因