windump一个安装在windows系统上的数据包的分析工具。
winpcap下载地址:
https://www.winpcap.org/default.htm
windump下载地址:
https://www.winpcap.org/windump/
首先安装winpcap,再安装windump.
安装完成后,将windump放在c盘位置,通过cmd调用,如图:
正常的话,会是这个界面,但是为什么没有数据包的信息呢???
因为电脑可能有几个网卡,windump默认抓的网卡,不一定是使用的网卡,这里要切记需要选择网卡!!!!如图:
windump -D :查看网卡信息,我在使用的是4
windump -i 4 : 选择抓取4号网卡信息(这个是通过网卡的数据包都会被抓取)
官方使用手册地址:https://www.winpcap.org/windump/docs/manual.htm
其中有所有的参数设置,下面我会介绍几个比较常用的。
windump -n 不解析域名
windump -n host x.x.x.x 抓这个ip的数据包
windump -n ! host x.x.x.x
windump udp port xxxx 抓udp端口包,如果去掉port 那么就是抓udp包
windump tcp port xxxx 抓tcp端口包,如果去掉port 那么就是抓tcp包
windump dst host x.x.x.x 根据目的地址的抓取数据包
windump src host x.x.x.x 根据源地址抓取数据包
windump src net x.x.x.x 根据源地址网段的抓取数据包
windump dst net x.x.x.x 根据目的地址网段的抓取数据包
最后,就是如何保存抓包信息!
windump -w xxxx.pcap