Windump 

* 실행파일 하나로 덤프할 수 있다. 

* 실행 방법이 간단하다. 

* 특정 크기/파일 갯수, 연속 캡쳐 및 로테이팅이 가능하다.

* 다양한 옵션으로 필터링을 할 수 있다. tcpdump 랑 같은 옵션을 지원한다.

* winpcap 라이브러리가 필요하다.

 

덤프 방법 - https://www.winpcap.org/windump/docs/manual.htm

1. 패킷 덤프를 뜰 인터페이스를 선택한다. windump.exe -D

2. windump.exe 를 이용하여 패킷을 덤프한다. 

ex) windump.exe -n -i 1 -s 0 -C 10 -W 20 "packetdump_path"

-n : 아이피를 호스트이름으로 바꾸지 않음

-i 1 : 1번 네트워크 인터페이스를 모니터링함

-s 0 : snaplen 의 설정으로 0일 경우 전체 패킷 모니터링함

-C 10 : 10메가 바이트. 이때 메가바이트 단위는 1,000,000. 

-W 20 : 20개의 파일을 로테이션 한다. 기존 파일은 덮어씌운다. 

 

 

netsh

* 별도 라이브러리가 필요없다. 

* 다양한 옵션으로 덤프를 할 수 없다.

* 덤프파일 etl 을 pcapng 로 변환해야한다.

 

덤프 방법

1. 패킷 덤프를 뜰 인터페이스를 선택한다. netsh trace show interfaces

2. netsh trace 를 이용하여 패킷을 덤프한다.

ex) netsh trace start capture=yes CaptureInterface=”Ethernet 3” IPv4.Address=192.168.1.1 tracefile="dump.etl" maxsize=11

 

etl 파일을 pcapng 로 변환하는 방법 - https://github.com/microsoft/etl2pcapng/releases

1. etl2pcapng 를 다운로드 받는다.

2. etl2pcapng.exe 를 실행한다. etl2pcapng.exe source.etl output.pcapng

 

+ Recent posts