可以使用wireshark通过图形界面的操作来实现捕获数据包并保存为文件。
wireshark默认捕获的数据包保存为临时文件,如果最后退出时不选择保存那么临时文件将会被删除。
可以在“菜单栏----捕获----选项----输出”窗口进行配置,指示wireshark直接将捕获结果保存为文件。
文件----数据包要保存到的文件
输出格式----数据包保存成的文件的文件格式
自动创建新文件----指示当当前文件达到某个指标后,就把后续数据包另存到另一个文件。(本质是通过关闭当前监听新启一个监听来实现)
使用一个环形缓冲器----只保存为那么多个文件,数量用完后从头形始覆盖。
以如上配置为例,截获结果如下:
tshark就是命令行版的wireshark(基于wireshark的多种表示,感觉wireshark部份功能也是调用tshark来实现的),所以也可以通过tshark来实现同样的效果。
使用-i指定网卡,使用-w实现文件,使用-F实
