WinDump使用方法

在命令行下启动windump.exe

参数列表：

-a 将网络地址解析为名字

-B size 设置网络数据接收缓冲区大小

-c count 只抓取count数目个包

-D 显示当前系统中所有可用的网卡

-e 输出链路层信息

-F file 从file文件中读取过滤的限制条件

-i interface 监视指定网卡

-n 不将网络地址解析为名字

-N 不打印全称域名信息

-q Print quick(less) packet infomation

-r file 从file文件中读取数据

-S Prints absolute TCP sequence numbers

s snaplen Captures snaplen bytes from the packet; the default value is 68

-t 不打印时间戳

-w file 将输出写入file文件

-X 用十六进制和ASCII码输出捕获的包

-x 用十六进制输出捕获的数据

使用示例如下：

C：/monitor>windump -s 200 -x -w testcap

此句表示捕获每个包的前200个字节，用十六进制输出，并将其写入testcap文件中

使用过滤器

查看网络上所有IP： windump ip

查看与指定ip交流的所有数据： windump ip host 192.168.1.6(指定ip)

查看所有从指定ip发到本机来的所有数据: windump ip src 192.168.1.6(指定ip)

捕获从指定网段发到本机的所有数据： windump ip host 192.168.1(指定ip网段)