Windump
* 실행파일 하나로 덤프할 수 있다.
* 실행 방법이 간단하다.
* 특정 크기/파일 갯수, 연속 캡쳐 및 로테이팅이 가능하다.
* 다양한 옵션으로 필터링을 할 수 있다. tcpdump 랑 같은 옵션을 지원한다.
* winpcap 라이브러리가 필요하다.
덤프 방법 - https://www.winpcap.org/windump/docs/manual.htm
1. 패킷 덤프를 뜰 인터페이스를 선택한다. windump.exe -D
2. windump.exe 를 이용하여 패킷을 덤프한다.
ex) windump.exe -n -i 1 -s 0 -C 10 -W 20 "packetdump_path"
-n : 아이피를 호스트이름으로 바꾸지 않음
-i 1 : 1번 네트워크 인터페이스를 모니터링함
-s 0 : snaplen 의 설정으로 0일 경우 전체 패킷 모니터링함
-C 10 : 10메가 바이트. 이때 메가바이트 단위는 1,000,000.
-W 20 : 20개의 파일을 로테이션 한다. 기존 파일은 덮어씌운다.
netsh
* 별도 라이브러리가 필요없다.
* 다양한 옵션으로 덤프를 할 수 없다.
* 덤프파일 etl 을 pcapng 로 변환해야한다.
덤프 방법
1. 패킷 덤프를 뜰 인터페이스를 선택한다. netsh trace show interfaces
2. netsh trace 를 이용하여 패킷을 덤프한다.
ex) netsh trace start capture=yes CaptureInterface=”Ethernet 3” IPv4.Address=192.168.1.1 tracefile="dump.etl" maxsize=11
etl 파일을 pcapng 로 변환하는 방법 - https://github.com/microsoft/etl2pcapng/releases
1. etl2pcapng 를 다운로드 받는다.
2. etl2pcapng.exe 를 실행한다. etl2pcapng.exe source.etl output.pcapng