此篇介紹的是Windump這個工具,Windump是Windows環境下的網路協議分析軟體 , 簡單來說就是抓封包的工具,在Unix下叫做Tcpdump。
他可以捕捉兩點之間所有的封包,在這種監視狀態下中間的任何資料都沒有任何秘密可言,網路上大多數的黑客都是使用擷取封包的方式來偷取資料。
當然爾下載Windump及Tcpdump都是免費的,在使用前須要先安裝WinPcap,WinPcap是截取封包必要的一個元件,可相容許多封包擷取軟體的元件。
Windump的參數為
windump [-aAdDeflLnNOpqRStuUvxX] [ -B size ] [-c count] [ -C file_size ] [ -E algo:secret ] [ -F file ] [ -i interface ] [ -M secret ] [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ] [ -W filecount ] [ -y datalinktype ] [ -Z user ] [ expression ]
必須使用命令提示字元來開啟Windump,記得先將目錄轉換到Windump所在地才能正確的執行指令!!
Windump -D 可顯示目前所有的網路設備
1. VMware Virtual Ethernet
2. Check Point Virtual Network …..
若只執行”Windump”的話會預設監聽第一個網路設備
Windump -i 指定監聽網路設備
Windump -i 8 代表這裡我要監聽的網路設備編號為8 , windump回應開始listening 第八個網路設備
可以看到陸陸續續有很多的封包資料出現 , 在這裡還未對windump開始篩選要的內容 , 還可以針對IP , 協定 , port , mac去做篩選。
以下寫出來的封包包含廣播封包 , 所以非常多
一般我們下指令的常用用法為
[proto] [dir] [type] [id]
windump -i 8 tcp port 80
[proto] 可以是ether, fddi, tr, ip, ip6, arp, rarp, decnet, tcp , udp中任一個或其他組合,如果不指定,所有和後面的type一致的都考慮在內。
[dir] packet傳輸的方向,可以是src, dst中的任一個或它們的表達式組合。不指定的話,相當於src or dst 。
[type] 指定後面的id是網路IP或是其他類型,可以是host, net ,port中任一個,如果不指定,默認為host。
[id] 就是希望監聽的網絡或主機或port。
windump -i 8 ether src host 8E:98:32:F8:2B:7D
監聽所有從本機網卡向外發出的封包 , 其中8E:98:32:F8:2B:7D是本機網卡的mac
更多更複雜的邏輯指令可將指令做更詳細的組合 , 可使用的關鍵字有and , or , not 這類的運算表示
還有gateway, broadcast , multicast , mask , protochain , proto , less , greater等等的組合
官方網站:http://www.winpcap.org/windump/
參考來源:http://netexplorer.blog.hexun.com.tw/50188023_d.html