본문 바로가기

IT/WinpcapProgramming

windump 사용법

/* 
written by kaspy (kaspyx@gmail.com)
*/ 


windump는 리눅스/유닉스 명령어인 tcpdump 라는 명령어를 윈도에 맞게 만든 실행 명령어로 기본적인 사용법은 같다.

첨부파일을 통해 다운 받아주기 바란다.

(첫번째껀 설치, 두번째는 실행파일)

WinPcap_4_1_3.exe

WinDump.exe

(http://www.winpcap.org/windump/install/default.htm 출처)


기본적인 사용법은 위와 같고 주로 사용되는 파라미터에대한 사용법은 아래와 같다.

-a 네트워크와 브로드 캐스트 주소이름 변경

-B size 수신 버퍼크기를 size로 수정

-c count 만큼만 패킷 수집

-D 네트워크 인터페이스 출력

-F file file에 정의된 필터를 적용

-q 패킷을 간단한 형태로출력

-t 각 라인에 시간을 출력하지 않음

-i 모니터링할 네트워크 인터페이스 지정

-n 주소를 이름으로 변하지 않도록 설정

-s 덤프할 패킷의 시작 오프셋

-S tcp 절대 일련 번호 출력

--

-A  print each packet in ascii

-c  exit after receiving count packets

-D  print available network interfaces

-e  print the link-level header on each dump line

-i  Listen on "interface"

-n  Don't convert addresses to names

-q  short output format

-S  print absolute, rather than relative, TCP sequence numbers

-s  snarf "snaplen" bytes from each packet rather than the default of 68

-t  Don't print a timestamp on each dump line

-w  write the raw packets to "file" rather than parsing and printing them out. standard output is used if the file is "-"

-x  print in hex

-xx  same as -x but print link level header, too.

-X  print in hex and ascii

-XX  same as -X but print link level header, too

--


사용 예제

windump -D

-> 현재 존재하는 네트워크 어뎁터 출력

windump -eSX -i 1 -s 80 port 88

-> 1번 네트워크 인터페이스의 88번 포트를 80 바이트 패킷씩 감청하여 헥스데이터로 출력, TCP 일력번호도 출력