WinDump Manual
http://www.winpcap.org/windump/docs/manual.htm
윈도우즈에서는 주로 와이어샤크나 이더리얼로 패킷캡쳐해서 분석하겠지만....커맨드가 익숙한 사람들에게는 해당툴이 상당히 유용해보인다.
tcpdump 를 모델로 윈도우즈에서 사용가능하게끔 해둔거 같고...동일 회사에서 배포하는건 아닌것같다.
윈도우즈에서 패킷캡쳐를 하기위해서는 winpcap 을 먼저 설치한다.
* WinPcap (Packet Capture Architecture for Windows)
유명한 유닉스 네트워크 툴은 대부분 libpcap라고 부르는 프로그래밍 라이브러리에 기반하는데, Libpcap은 BPF 혹은 버클리 패킷 필터(Berkeley Packet Filter)로 알려져 있는 유닉스 커널 함수에 의존한다. 최근에는 Win32 플랫폼에서도 이러한 기능을 사용할 수 있게 되었다. WinPcap이란 libpcap(packat capture library: 네트워크 패킷을 저장하고 보내는데 널리 쓰이는 네트워크 프로그래밍 API)의 Win32 포트이다.
Windump Download
아래링크를 통해서 다운이 가능하다.
http://www.winpcap.org/windump/install/
다운을 받으면 그냥 설치용이 아니라 system32 폴더에 해당 exe 파일을 집어넣으면 된다.
사용법
-D : 현재 시스템에서 운영중인 네트워크 장치목록 확인
물론 장치가 한개라면 상관이 없겠지만 네트워크 카드가 여러개라면 캡쳐할 네트워크 장치를 정해줘야 한다.
-i interface
옵션 및 표현식
Usage: windump [-aAdDeflLnNOpqRStuUvxX] [ -B size ] [-c count] [ -C file_size ]
[ -E algo:secret ] [ -F file ] [ -i interface ] [ -M secret ]
[ -r file ] [ -s snaplen ] [ -T type ] [ -w file ]
[ -W filecount ] [ -y datalinktype ] [ -Z user ]
[ expression ]
-a : 네트워크 주소를 이름으로 바꾸어 출력
-F : file을 filter 표현의 입력으로 사용
-e : 화면출력시 링크 레벨 정보 표시
-i : interface를 경유하는 정보 출력
-E : IPsec ESP 패킷용
-D : interface 카드 리스트 출력 (Win32 Only)
-l : stdout 출력 라인을 버퍼링함 (캡쳐하면서 동시에 패킷을 볼 경우)
-O : 패킷 매칭 코드 optimizer 사용 아니함
-p : promiscuous mode로 두지 않는다
-t : 시간을 출력 안함
-v : 자세한 정보 출력
-vv : 더 자세한 정보
WinDump.exe
