Windows 용 tcpdump

wireshark을 주로 사용하지만, 버전업이 될 수록 초기 구동에 시간이 너무 오래 걸려서 가끔 짜증 날 때가 많다. 그래서 윈도우즈의 tcpdump에 해당하는 툴을 찾아 보니 Windump라는 놈이 있다. 설치 과정도 필요 없이 단지 하나의 바이너리로 구동하면서, tcpdump와 명령어 옵션은 거의 같은 것 같고, 속도도 빠르다. 물론 WinPcap은 미리 설치 되어 있어야 한다.

문제는 -i 뒤에 interface 이름이 윈도우즈에서는 장난 아니게 길다는 것…

다행히 숫자를 입력할 수 있는데, wireshakr에 표시되는 인터페이스 순서대로 0부터 시작하는 것으로 보인다.

C:> windump -i 2 -n port 3306

windump: listening on \Device\NPF_{3AB52DA4-C7E0-4E63-85E8-B926F446075B}

15:34:31.036451 IP 192.168.1.29.3306 > 192.168.1.35.3204: P 36754:36775(21) ack

150404 win 65535

15:34:31.036583 IP 192.168.1.35.3204 > 192.168.1.29.3306: P 150404:150439(35) ac

k 36775 win 64403

15:34:31.036936 IP 192.168.1.29.3306 > 192.168.1.35.3204: P 36775:36855(80) ack

150439 win 65535

15:34:31.041136 IP 192.168.1.35.3204 > 192.168.1.29.3306: P 150439:150819(380) a

ck 36855 win 64323

15:34:31.042833 IP 192.168.1.29.3306 > 192.168.1.35.3204: P 36855:36876(21) ack

150819 win 65535

Leave a Reply