Geralmente é mais útil capturar pacotes usando o tcpdump em vez do wireshark. Por exemplo, convém fazer uma captura remota e não ter acesso à GUI ou o Wireshark instalado na máquina remota.
As versões mais antigas do tcpdump truncam pacotes para 68 ou 96 bytes. Se for esse o caso, use -s para capturar pacotes de tamanho normal:
$ tcpdump -i <interface> -s 65535 -w <arquivo>
Você precisará especificar a interface correta e o nome de um arquivo para salvar. Além disso, você precisará finalizar a captura com ^ C quando acreditar que capturou pacotes suficientes.
O tcpdump não faz parte da distribuição do Wireshark. Você pode obtê-lo em https://www.tcpdump.org/ ou como um pacote padrão na maioria das distribuições Linux. Para obter mais informações sobre o tcpdump, consulte a página do manual local (man tcpdump) ou a versão online.
Exemplo:
tcpdump -i ens192 -w mycap.pcap
Fonte: https://www.wireshark.org/docs/wsug_html_chunked/AppToolstcpdump.html
Comments are closed