WinDump安装及使用

admin
admin
admin
100990
文章
86
评论
2023年5月29日13:50:41评论46 views字数 1022阅读3分24秒阅读模式

Unix系统下有个tcpdump的抓包工具,非常好用。其实在windows下也有一个类似的工作,叫windump,可以方便的根据需要进行抓包

安装

https://www.winpcap.org/windump/install/

下载WinDump.exe文件,拷贝该文件到c:windowssystem32目录下


使用

查看命令帮助

windump -h
windump [-aAdDeflLnNOpqRStuUvxX] [ -B size ] [-c count] [ -C file_size ]                [ -E algo:secret ] [ -F file ] [ -i interface ] [ -M secret ]                [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ]                [ -W filecount ] [ -y datalinktype ] [ -Z user ]                [ expression ]

WinDump安装及使用

常用参数

# 显示所有网卡接口windump –D
1.DeviceNPF_{1B34FE6F-38DE-44D7-9FAF-9413B730FAC2} (Realtek PCIe GbE Family Controller)2.DeviceNPF_{A4468C5C-892B-473C-800B-A99CC18BE3F9} (Microsoft)3.DeviceNPF_{95952580-7F0B-4F7F-BD20-82D44A4390A2} (Oracle)


# 抓群指定网卡包windump -i 1# 同上windump -i DeviceNPF_{1B34FE6F-38DE-44D7-9FAF-9413B730FAC2}
# 不解析主机名windump –n


表达式:[协议] [流向] [类型] [网络、主机、端口地址]

  • 协议 ether, fddi, tr, ip, ip6, arp, rarp, decnet, tcp , udp

  • 流向 packet传输的方向,可以是src dst中任意一种或它们的表达式组合

  • 类型 host、net、port

  • 希望监听的网络、主机、端口


# 监听所有从本地网卡向外发的packet,其中00:11:D8:6A:33:22是本地网卡的mac地址windump -i 1 ether src host 00:11:D8:6A:33:22
# 抓取主机为10.80.31.202和协议为tcp端口为22220的数据包windump  -i 1 -n host 10.80.31.202 and tcp port 22220

原文始发于微信公众号(数据安全治理技术):WinDump安装及使用

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月29日13:50:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   WinDump安装及使用https://cn-sec.com/archives/1764653.html

发表评论

匿名网友 填写信息