转自:http://blog.csdn.net/weiyuweizhi/article/details/4326174
在命令行下启动windump.exe
参数列表:
-a 将网络地址解析为名字
-B size 设置网络数据接收缓冲区大小
-c count 只抓取count数目个包
-D 显示当前系统中所有可用的网卡
-e 输出链路层信息
-F file 从file文件中读取过滤的限制条件
-i interface 监视指定网卡
-n 不将网络地址解析为名字
-N 不打印全称域名信息
-q Print quick(less) packet infomation
-r file 从file文件中读取数据
-S Prints absolute TCP sequence numbers
s snaplen Captures snaplen bytes from the packet; the default value is 68
-t 不打印时间戳
-w file 将输出写入file文件
-X 用十六进制和ASCII码输出捕获的包
-x 用十六进制输出捕获的数据
使用示例如下:
C:/monitor>windump -s 200 -x -w testcap
此句表示捕获每个包的前200个字节,用十六进制输出,并将其写入testcap文件中
使用过滤器
查看网络上所有IP: windump ip
查看与指定ip交流的所有数据: windump ip host 192.168.1.6(指定ip)
查看所有从指定ip发到本机来的所有数据: windump ip src 192.168.1.6(指定ip)
捕获从指定网段发到本机的所有数据: windump ip host 192.168.1(指定ip网段)