dumpcap es una utilidad de línea de comandos que se instala junto con Wireshark y se encuentra en el mismo directorio. Está diseñada para capturar tráfico de las interfaces de red del PC y escribir los archivos de captura en disco. Wireshark en sí no realiza la operación de captura de tráfico: eso lo hace dumpcap. Todo lo que hace Wireshark es lanzar la utilidad dumpcap, leer el archivo de captura que crece continuamente y mostrar los paquetes con toda la funcionalidad adicional.
Usar dumpcap es bastante sencillo. La principal dificultad es que es una utilidad de línea de comandos y es necesario aprender algunos comandos.
Puede verificar que dumpcap funciona de la siguiente manera:
- abra el símbolo del sistema (Win+R);
- navegue al directorio de Wireshark:
cd \program files\wireshark - introduzca el comando
dumpcap
Tras estos pasos comenzará la captura de tráfico de red. Comenzará en una de las interfaces disponibles (la primera que encuentre la utilidad) y escribirá en un archivo arbitrario. Pero podemos ampliar el comando con configuraciones que nos permitan capturar desde la interfaz específica (¡o incluso varias interfaces — sí, sí!) que necesitemos; establecer el nombre y la ubicación del archivo de escritura; configurar un búfer circular; configurar filtros de captura y más. Antes de proceder con estas configuraciones, detenga la captura en curso con CTRL+C (así se detendrá la captura también en el futuro).
Selección de la interfaz de captura
Primero debe saber qué interfaces tiene disponibles dumpcap. Use el siguiente comando:
dumpcap -D
El resultado es una lista numerada de interfaces.
Para seleccionar una interfaz, llame a dumpcap con el parámetro '-i' especificando el número de interfaz, por ejemplo:
dumpcap -i 5
Comenzará la captura de tráfico de la interfaz nº 5.
Definición del nombre y ubicación del archivo de captura
Para definir el nombre y la ubicación del archivo de captura, llame a dumpcap con el parámetro '-w' especificando la ruta y el nombre del archivo, por ejemplo:
dumpcap -i 5 -w C:\Users\gav\Documents\test.pcapng
Definición del tamaño del archivo de captura
Para poder abrir posteriormente el archivo de captura en Wireshark sin problemas de bloqueos o lentitud, podemos hacer que los datos se guarden en archivos de un tamaño determinado. Al alcanzar el tamaño especificado, el archivo se guarda y se crea uno nuevo para continuar la captura. Al nombre del archivo se añade el número de archivo, así como año, mes, día, horas, minutos y segundos del inicio de la captura. Por ejemplo, podemos llamar a dumpcap con el siguiente comando:
dumpcap -i 5 -w C:\Users\gav\Documents\test.pcapng -b filesize:50000
Esto significa que los archivos de captura tendrán un tamaño máximo de 50 MB.
Configuración del búfer circular
Si se planea grabar tráfico durante un período prolongado y el espacio libre en disco es limitado, es conveniente que dumpcap sobrescriba los archivos antiguos con los nuevos. Suponga que tiene 1 GB de espacio libre. Con cada archivo de 50 MB: 1×1024/50 = 20 archivos — ese es el número de archivos que podemos almacenar. En ese caso debemos llamar a dumpcap con los siguientes parámetros:
dumpcap -i 5 -w C:\Users\gav\Documents\test.pcapng -b filesize:50000 -b files:20
Configuración del filtro de captura
Es posible aplicar un filtro de captura usando la sintaxis BPF. Para ello es necesario llamar a dumpcap con los siguientes parámetros:
dumpcap -i 5 -f "ether proto 0x88ba or (vlan and ether proto 0x88ba)" -w C:\Users\gav\Documents\test.pcapng -b filesize:50000 -b files:20
La expresión del filtro (captura de tramas Sampled Values) está entre comillas porque contiene espacios.
Captura desde múltiples interfaces
Como se mencionó anteriormente, con dumpcap se puede realizar la captura desde varias interfaces. Para ello basta con especificar una interfaz adicional y usar el parámetro '-t' para utilizar un hilo separado por interfaz para el equilibrio de carga:
dumpcap -t -i 5 -i 1 -w C:\Users\gav\Documents\test.pcapng -b filesize:50000 -b files:20
Resultado
¡Con estos conocimientos, puede realizar capturas de tráfico prolongadas sin riesgo de perder datos ni de quedarse con un PC bloqueado!