利用windump检测网络

摘要：文章介绍了一个运行在Windows下的网络检测软件Windump，详细描述了Windump的使用方法及参数，并通过实例介绍了Windump在网络管理中的实际应用。

关键词：网络；TCP/IP；Windump

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)16-21214-02

A Way(or Analysis) to Detect the Network by Using Windump

PAN Zi-peng1,2

(1.The School of Electrical Engineering,Guangxi University,Nanning 530003,China;2.Guangxi University of Finance and Economics,Nanning 530003,China)

Abstract: This paper introduces the Windump，a network-detecting software，which are running on Windows. The paper analyzes the using ways and the parameters of the Windump in detail. And more,some examples about the Practical applications of the Windump in Windows are introduced vividly.

Key words:Network;TCP/IP;Windump

1 前言

Windump是一个开源的网络协议分析软件，可以进行各种协议的网络数据包探测，捕捉网络上两台电脑之间所有的数据包，供网络管理员或者入侵分析员做网络的流量分析和入侵检测等。虽然说Windump可能对大家来说不太熟悉，但熟悉网络管理的人员一定知道或者使用过Tcpdump，这是一个在Unix下运行的网络检测软件。使用这些软件的意义是什么呢？答案是检测网络中的数据，监视网络中所有的流量和所有的数据。

在《TCP/IP详解》卷一中，作者描述了使用Tcpdump捕捉的数据包来向读者展示TCP/IP的一些工作过程；Tcpdump也被电脑安全专家下村勉作为重要工具来对付世界头号黑客米特尼克，并在检测过程中起了重要作用。可见Tcpdump是网络管理、网络检测中使用的重要工具。

本文要介绍的Windump正是运行在Windows下的基于命令行的Tcpdump工具。该软件是免费软件，只能在命令行界面下使用，需要WinPcap驱动。

2 Windump的安装

首先，下载Windump.exe软件；然后下载winpcap.exe软件包。因为Windump是单个可执行文件，无需特别安装，将windump拷贝到C:\ 即可（也可拷贝到你指定的位置）。

Winpcap需要安装后才可使用，安装过程比较简单，双击后按照屏幕提示进行选择即可顺利安装，安装后重启。

3 Windump的使用方法及参数

3.1 基本的使用方法

1)在开始菜单，运行子菜单中输入cmd，回车后进入cmd命令行界面。

cd\ 回车，切换到c盘的根目录。

2)输入指令windump -D （注意D要大写），查询网络接口。

C:\>windump -D

①\Device\NPF_GenericDialupAdapter (Adapter for generic dialup and VPN capture)

②\Device\NPF_{C8868355-8C13-40D2-A097-F9CF755EC812} (WAN (PPP/SLIP) Interface)

可以查看到本机拨号网络适配器编号为2。

3)C:\>windump Ci 2

进入监听状态，监听此网络接口上所有类型的报文。

3.2 表达式的一般格式

如果不指定表达式，所有通过指定接口的数据包（packet）都输出。如果想指定输出满足一定的条件的数据包才输出，必须使用合法的表达式。

基本的表达式是这样的：

[proto][dir][type][id]

Proto协议，可以是ether, fddi, tr, ip, ip6, arp, rarp, decnet, tcp , udp中任一个或它们的表达式组合，如果不指定，所有和后面的type一致的都考虑在内。

Dir数据包（packet）传输的方向，可以是src, dst中的任一个或它们的表达式组合。不指定的话，相当于src or dst 。

type指定后面的id是网络地址、主机地址还是端口号，可以是host, net ,port中任一个，如果不指定，默认为host。

id就是希望监听的网络或主机或端口地址。

3.3 参数介绍

windump支持许多不同的参数，如上面使用-i参数指定Windump监听的网络接口，这在计算机具有多个网络接口时比较有用，使用-c参数指定要监听的数据包数量，使用-w参数指定将监听到的数据包写入文件中保存，等等。

Windump的参数通过运行windump -h可以看到：

C:\>windump Ch

windump version 3.9.5, based on tcpdump version 3.9.5

WinPcap version 4.0.1 (packet.dll version 4.0.0.901), based on libpcap version 0.9.5

Usage: windump [-aAdDeflLnNOpqRStuUvxX] [ -B size ] [-c count] [ -C file_size ]

[ -E algo:secret ] [ -F file ] [ -i interface ] [ -M secret ]

[ -r file ] [ -s snaplen ] [ -T type ] [ -w file ]

[ -W filecount ] [ -y datalinktype ] [ -Z user ]

[ expression ]

Windump的参数选项介绍

常用的参数：

-w write的缩写，写入文件，供后期分析。

-D 列出本机可用的网络接口列表。

-i[n] interface的缩写，选择要监测的网络接口。

host 指定要监测的主机，可以是域名或IP地址。

port 指定要监测的端口。

src/dst source/Destination的缩写，该参数配合host和port参数一起使用，指定要监测的主机或端口为源/终点的数据包。

-s size的缩写，指定抓取的每个数据包的大小，缺省是68，如果该值太小，可能会丢失数据。如果设置为0，则表示捕获整个包。

4 Windump的应用实例

4.1 监听目标IP地址为59.155.77.13的数据包

C:\>windump -i 2 ip dst net 59.155.77.13

windump: listening on \Device\NPF_{C8868355-8C13-40D2-A097-F9CF755EC812}

15:02:27.836914 IP 221.174.16.12.80 > hello.1849: . 4218156942:4218158370(1428)

ack 2433050334 win 58548

监测访问指定网站的数据包

C:\>windump -i

当有访问163网站的数据时，监听到的数据输出如下：

windump: listening on \Device\NPF_{C8868355-8C13-40D2-A097-F9CF755EC812}

14:45:00.514648 IP hello.1367 > 202.108.9.36.80: S 2848113333:2848113333(0) win

65535

14:45:00.583984 IP hello.1367 > 202.108.9.36.80: . ack 134364127 win 64080

14:45:00.599609 IP hello.1367 > 202.108.9.36.80: P 0:373(373) ack 1 win 64080

14:45:00.725585 IP hello.1367 > 202.108.9.36.80: . ack 2881 win 64080

14:45:00.817382 IP hello.1367 > 202.108.9.36.80: . ack 4321 win 64080

4.2 监听所有发给本地139 udp端口的数据包

C:\>windump -i 2 udp dst port 139

4.3 监听所有源或目的主机的ether地址是aa:aa:aa:aa:aa:aa的数据包，并把信息写入到文件pzp中

C:\>windump.exe -i 2 -w pzpether hostaa:aa:aa:aa:aa:aa

5 结束语

本文介绍了在Windows下运行的免费、开源的网络检测软件Windump，详细描述了Windump的安装过程、使用方法，并介绍了常用的一些参数；通过应用实例，介绍了Windump在网络管理中的实际应用过程。

参考文献：

[1] Mark A Miller.TCP/IP故障诊断与排除[M].3版.北京:中国水利水电出版社,2001.

[2] 彭文波.利用TCPDump检测网络数据[J].计算机安全,2006(7).