dumpcap est un utilitaire en ligne de commande installé avec Wireshark, dans le même répertoire. Il est conçu pour capturer le trafic des interfaces réseau du PC et écrire les fichiers de capture sur disque. Wireshark lui-même n'effectue pas l'opération de capture du trafic — c'est dumpcap qui s'en charge. Wireshark se contente de lancer l'utilitaire dumpcap, de lire le fichier de capture en constante augmentation et d'afficher les paquets avec toutes les fonctionnalités supplémentaires.
Utiliser dumpcap est assez simple. La principale difficulté est que c'est un utilitaire en ligne de commande et qu'il faut apprendre quelques commandes.
Vous pouvez vérifier que dumpcap fonctionne de la manière suivante :
- ouvrez l'invite de commandes (Win+R) ;
- naviguez vers le répertoire Wireshark :
cd \program files\wireshark - saisissez la commande
dumpcap
Après ces étapes, la capture du trafic réseau commencera. Elle débutera sur l'une des interfaces disponibles (la première trouvée par l'utilitaire) et écrira dans un fichier arbitraire. Mais nous pouvons compléter la commande avec des paramètres permettant de capturer depuis l'interface spécifique (ou même plusieurs interfaces — oui, oui !) dont nous avons besoin ; de définir le nom et l'emplacement du fichier de sortie ; de configurer un tampon circulaire ; de configurer des filtres de capture et bien plus encore. Avant de procéder à ces réglages, arrêtez la capture en cours avec CTRL+C (c'est ainsi qu'on arrête la capture à l'avenir également).
Sélection de l'interface de capture
Il faut d'abord savoir quelles interfaces sont disponibles pour dumpcap. Utilisez la commande suivante :
dumpcap -D
Le résultat est une liste numérotée des interfaces.
Pour sélectionner une interface, appelez dumpcap avec le paramètre '-i' en indiquant le numéro d'interface, par exemple :
dumpcap -i 5
La capture du trafic de l'interface n°5 commencera.
Définition du nom et de l'emplacement du fichier de capture
Pour définir le nom et l'emplacement du fichier de capture, appelez dumpcap avec le paramètre '-w' en indiquant le chemin et le nom du fichier, par exemple :
dumpcap -i 5 -w C:\Users\gav\Documents\test.pcapng
Définition de la taille du fichier de capture
Pour pouvoir ouvrir ultérieurement le fichier de capture dans Wireshark sans problème de blocages ou de lenteurs, nous pouvons faire en sorte que les données soient enregistrées dans des fichiers d'une taille déterminée. Lorsque la taille spécifiée est atteinte, le fichier est sauvegardé et un nouveau est créé pour continuer la capture. Le numéro de fichier ainsi que l'année, le mois, le jour, les heures, les minutes et les secondes de début de capture sont ajoutés au nom du fichier. Par exemple, nous pouvons appeler dumpcap avec la commande suivante :
dumpcap -i 5 -w C:\Users\gav\Documents\test.pcapng -b filesize:50000
Cela signifie que les fichiers de capture auront une taille maximale de 50 Mo.
Configuration du tampon circulaire
Si l'enregistrement du trafic est prévu sur une longue période et que l'espace disque libre est limité, il est judicieux de faire en sorte que dumpcap écrase les anciens fichiers par les nouveaux. Supposons que vous disposiez de 1 Go d'espace libre. Avec chaque fichier de 50 Mo : 1×1024/50 = 20 fichiers — c'est le nombre de fichiers que nous pouvons conserver. Dans ce cas, nous devons appeler dumpcap avec les paramètres suivants :
dumpcap -i 5 -w C:\Users\gav\Documents\test.pcapng -b filesize:50000 -b files:20
Configuration du filtre de capture
Il est possible d'appliquer un filtre de capture en utilisant la syntaxe BPF. Pour cela il faut appeler dumpcap avec les paramètres suivants :
dumpcap -i 5 -f "ether proto 0x88ba or (vlan and ether proto 0x88ba)" -w C:\Users\gav\Documents\test.pcapng -b filesize:50000 -b files:20
L'expression du filtre (capture de trames Sampled Values) est entre guillemets car elle contient des espaces.
Capture depuis plusieurs interfaces
Comme mentionné ci-dessus, avec dumpcap il est possible de capturer depuis plusieurs interfaces. Il suffit de spécifier une interface supplémentaire et d'utiliser le paramètre '-t' pour utiliser un thread séparé par interface pour l'équilibrage de charge :
dumpcap -t -i 5 -i 1 -w C:\Users\gav\Documents\test.pcapng -b filesize:50000 -b files:20
Résultat
Grâce à ces connaissances, vous pouvez effectuer des captures de trafic longue durée sans risque de perdre des données ni de vous retrouver avec un PC bloqué !