dumpcap é um utilitário de linha de comando instalado junto com o Wireshark, encontrado no mesmo diretório. É projetado para capturar tráfego das interfaces de rede do PC e gravar arquivos de captura em disco. O próprio Wireshark não realiza a operação de captura de tráfego — isso é feito pelo dumpcap. Tudo que o Wireshark faz é iniciar o utilitário dumpcap, ler o arquivo de captura que cresce continuamente e exibir os pacotes com toda a funcionalidade adicional.
Usar o dumpcap é bastante simples. O principal desafio é que é um utilitário de linha de comando e é necessário aprender alguns comandos.
Você pode verificar se o dumpcap está funcionando da seguinte forma:
- abra o prompt de comando (Win+R);
- navegue até o diretório do Wireshark:
cd \program files\wireshark - digite o comando
dumpcap
Após essas etapas, a captura de tráfego de rede começará. Iniciará em uma das interfaces disponíveis (a primeira que o utilitário encontrar) e gravará em um arquivo arbitrário. Mas podemos estender o comando com configurações que nos permitem capturar da interface específica (ou mesmo várias interfaces — sim, sim!) que precisamos; definir o nome e o local do arquivo de gravação; configurar um buffer circular; configurar filtros de captura e muito mais. Antes de prosseguir com essas configurações, pare a captura em execução com CTRL+C (é assim que se encerra a captura também nas próximas vezes).
Seleção da interface de captura
Primeiro, você precisa saber quais interfaces estão disponíveis para o dumpcap. Use o seguinte comando:
dumpcap -D
O resultado é uma lista numerada de interfaces.
Para selecionar uma interface, chame o dumpcap com o parâmetro '-i' especificando o número da interface, por exemplo:
dumpcap -i 5
A captura de tráfego da interface nº 5 começará.
Definição do nome e local do arquivo de captura
Para definir o nome e o local do arquivo de captura, chame o dumpcap com o parâmetro '-w' especificando o caminho e o nome do arquivo, por exemplo:
dumpcap -i 5 -w C:\Users\gav\Documents\test.pcapng
Definição do tamanho do arquivo de captura
Para que possamos abrir com sucesso o arquivo de captura no Wireshark posteriormente sem travamentos ou lentidão, podemos fazer com que os dados de captura sejam salvos em arquivos de um tamanho específico. Quando o tamanho especificado é atingido, o arquivo é salvo e um novo é criado para continuar a captura. O número do arquivo, bem como ano, mês, dia, horas, minutos e segundos do início da captura são adicionados ao nome do arquivo. Por exemplo, podemos chamar o dumpcap com o seguinte comando:
dumpcap -i 5 -w C:\Users\gav\Documents\test.pcapng -b filesize:50000
Isso significa que os arquivos de captura terão no máximo 50 MB.
Configuração do buffer circular
Se a gravação de tráfego for planejada por um longo período e o espaço livre em disco for limitado, é conveniente que o dumpcap sobrescreva os arquivos antigos com os novos. Suponha que você tenha 1 GB de espaço livre. Com cada arquivo de 50 MB: 1×1024/50 = 20 arquivos — esse é o número de arquivos que podemos armazenar. Nesse caso, devemos chamar o dumpcap com os seguintes parâmetros:
dumpcap -i 5 -w C:\Users\gav\Documents\test.pcapng -b filesize:50000 -b files:20
Configuração do filtro de captura
É possível aplicar um filtro de captura usando a sintaxe BPF. Para isso é necessário chamar o dumpcap com os seguintes parâmetros:
dumpcap -i 5 -f "ether proto 0x88ba or (vlan and ether proto 0x88ba)" -w C:\Users\gav\Documents\test.pcapng -b filesize:50000 -b files:20
A expressão do filtro (captura de quadros Sampled Values) está entre aspas porque contém espaços.
Captura de múltiplas interfaces
Como mencionado anteriormente, com o dumpcap é possível realizar a captura de várias interfaces. Para isso basta especificar uma interface adicional e usar o parâmetro '-t' para utilizar uma thread separada por interface para balanceamento de carga:
dumpcap -t -i 5 -i 1 -w C:\Users\gav\Documents\test.pcapng -b filesize:50000 -b files:20
Resultado
Com esse conhecimento, você pode realizar capturas de tráfego prolongadas sem risco de perder dados ou terminar com um PC travado!