Windows에서 tcpdump 사용

Windows에서 tcpdump와 같은 packet 분석용 command line tool이 필요하면 WinDump를 사용하면 됩니다.

아래 URL에서 다운받을 수 있습니다.

http://ftp.wiretapped.net/pub/security/packet-capture/winpcap/windump/default.htm

à 왼쪽 메뉴에서 Get WinDump 메뉴로 들어감

   Click here to download WinPcap을 클릭해서 먼저 WinPcap을 다운로드 받아 설치

   WinDump.exe를 다운로드 받아 Path가 잡힌 곳에 두면 됨

 

사용방법은 tcpdump와 동일합니다.

다만 windump 실행시 listening on \Device\NPF_GenericDialupAdapter 메시지가 나온다면 패킷이 안잡힐텐데요.

해당 URL의 FAQ에 나오는대로 windump –D 를 실행해서 컴퓨터에 있는 네트워크 디바이스를 확인합니다.

D:\bin>windump -D

1.\Device\NPF_GenericDialupAdapter (Adapter for generic dialup and VPN capture)

2.\Device\NPF_{334B1CDC-B086-41F7-8416-0D24A90FF2EF} (3Com EtherLink PCI (Microsoft's Packet Scheduler) )

 

이제 packet을 잡을 때는 –i <device number> 옵션을 추가해서 사용합니다.

D:\bin>windump -i 2 host www.redhat.com

windump: listening on \Device\NPF_{334B1CDC-B086-41F7-8416-0D24A90FF2EF}

15:34:58.453905 IP clotho.4991 > www.redhat.com.80: S 632533696:632533696(0)

 win 65535 <mss 1460,nop,nop,sackOK>

15:34:58.717423 IP www.redhat.com.80 > clotho.4991: S 4252710634:4252710634(

0) ack 632533697 win 5840 <mss 1380,nop,nop,sackOK>

15:34:58.717475 IP clotho.4991 > www.redhat.com.80: . ack 1 win 65535

[출처] Windows에서 tcpdump 사용|작성자 소프