相比于wireshark, RawCap非常小,仅有48kb。
使用RawCap命令需要使用管理员权限打开CMD,然后进入到RawCap.exe的目录。例如F:\Tools
显示网卡列表
输入RawCap.exe –help, 可以显示命令的使用帮助、网卡列表还有使用例子。
F:\Tools>RawCap.exe --help
NETRESEC RawCap version 0.2.0.0
Usage: RawCap.exe [OPTIONS] <interface> <pcap_target>
<interface> can be an interface number or IP address
<pcap_target> can be filename, stdout (-) or named pipe (starting with \\.\pipe\)
OPTIONS:
-f Flush data to file after each packet (no buffer)
-c <count> Stop sniffing after receiving <count> packets
-s <sec> Stop sniffing after <sec> seconds
-m Disable automatic creation of RawCap firewall entry
-q Quiet, don't print packet count to standard out
INTERFACES:
0. IP : 169.254.63.243
NIC Name : Local Area Connection
NIC Type : Ethernet
1. IP : 192.168.1.129
NIC Name : WiFi
NIC Type : Wireless80211
2. IP : 127.0.0.1
NIC Name : Loopback Pseudo-Interface 1
NIC Type : Loopback
3. IP : 10.165.240.132
NIC Name : Mobile 12
NIC Type : Wwanpp
Example 1: RawCap.exe 0 dumpfile.pcap
Example 2: RawCap.exe -s 60 127.0.0.1 localhost.pcap
Example 3: RawCap.exe 127.0.0.1 \\.\pipe\RawCap
Example 4: RawCap.exe -q 127.0.0.1 - | Wireshark.exe -i - -k
:::warning 注意:
- 执行RawCap.exe的时候,不要用 ./RawCap.exe , 直接用文件名 RawCap.exe 加执行参数
- RawCap的功能很弱,没有包过滤。只能指定网卡抓包,然后保存为文件。 :::
抓指定网卡的包
Example 1: RawCap.exe 0 dumpfile.pcap
Example 2: RawCap.exe -s 60 127.0.0.1 localhost.pcap
Example 3: RawCap.exe 127.0.0.1 \\.\pipe\RawCap
Example 4: RawCap.exe -q 127.0.0.1 - | Wireshark.exe -i - -k
参考
https://www.netresec.com/?page=RawCap
附件
附件中有两个版本的rawcap文件。