[본문스크랩] Windump

1.Windump란?

 

WinDump는 Tcpdump를 Win32로 포팅한 것으로, 인기 있는 유닉스용 네트워크 툴이다.

 
WinDump는 가장 유명한 유닉스용 스니퍼/네트웍 유틸리티 중 하나인 Tcpdump와 완전히 호환 가능하다.


Tcpdump와 마찬가지로 WinDump는 정규표현식에 맞는 패킷 헤더를 출력한다.

 

Windump의 거의 모든 기능을 Tcpdump에서 사용할 수 있다.

 

WinDump는 네트워크 인터페이스를 정해져 있지 않은 모드(promiscuous mode)로 만든다.(드러나는 모든 패킷을 잡는다).

 

WinDump로 애플리케이션의 응답 시간(response time)을 측정하며, 네트워크 문제가 발생했을 때 에러의 정확한 위치를 지정한다.

 

비교환 이더넷(non-switched Ethernet)과같은 공유 액세스 네트워크에서 트래픽이 다른 호스트 사이에서 이동하는 것을 볼 때 유용하다. 

 

 

 *TCPdump란?
 TCPdump는 Lawrence Berkley Nation Lab의 Network Rearch Gruop에서 만든 것으로 네트워크의 패킷을 출력해주는 프로그램이다. 주어진 조건식을 만족하는 네트워크 인터페이스를 거치는 패킷들의 헤더들을 출력해 주는 프로그램이다. 주로 쓰임은 지정된 상대방 호스트로부터 들어오는 패킷을 체크하는 데 있다.

TCPdump는 대부분의 리누스 버전에서 제공하고 있는 스니퍼 프로그램이다. 어떠한 설치 옵션을 사용했느냐에 따라 달라질 수 있지만 기본적인 설정으로 설치된다. 만약 'tcpdump'란 명령ㅇ로 실행되지 않는다면 배포 CD에서 수작업으로 설치해 주어야한다.

TCPdump는 트래픽을 모니터링하거나 네트워크 뭍제점을 해결하는 데 사용 될 수 있는 훌륭한 프로그램이다. 복잡한 네트워크 트래픽을 필터링하기 위해서 다양한 옵션을 제공한다. 사용법을 잘 모르다면 'man tcpdump'를 통해서 사용법에 대한 정보를 얻을 수가 있다.

 

 

 

2. Windump 설치

 

Windump는http://www.winpcap.org/windump/에서 다운로드 가능하며 홈페이지에서 명시한 바와 같이 Tcpdump의 Windows 버전이라고

 

각해도 될 만큼 Tcpdump와 매우 유사하다. Tcpdump를 설치하려면 libpcap 패킷 캡처 라이브러리가 있어야  하는 것처럼 Windump를 설치하

 

려면Winpcap을 먼저 설치하여야 한다. 홈페이지에서 관련 프로그램을 제공하므로 함께 설치해서 사용하면 된다.

 

사용자 삽입 이미지
 

[WinDump 홈페이지]

 

최근에는 Windows기반에서는 GUI 기반인 ethere (http://www.ethereal.com/) 등과 같은패킷 캡처 프로그램이 널리 사용되고 있는 추세

 

다. 역시 동일하게 BPF기능을 제공한다

 

* WinPcap (Packet Capture Architecture for Windows)
유명한 유닉스 네트워크 툴은 대부분 libpcap라고 부르는 프로그래밍 라이브러리에 기반하는데, Libpcap은 BPF 혹은 버클리 패킷 필터(Berkeley Packet Filter)로 알려져 있는 유닉스 커널 함수에 의존한다. 최근에는 Win32 플랫폼에서도 이러한 기능을 사용할 수 있게 되었다. WinPcap이란 libpcap(packat capture library: 네트워크 패킷을 저장하고 보내는데 널리 쓰이는 네트워크 프로그래밍 API)의 Win32 포트이다.

 

 

3. WinDump 사용법

 

먼저 명령 프롬프트 창을 열고 "windump -D"를 입력한다. 그러면 사용할 수 있는 디바이스(장치)들이 나온다.

 

 

사용자 삽입 이미지

 

명령을 실행할 때는 자기 장치가 등록되어 있는 번호를 입력한다.

"windump -i 2"를 입력한다.

 

사용자 삽입 이미지

 

* 옵션 및 표현식

 

‣ windump [ -aBdDeflnNOpqRStvxX ]

    [ -ccount ]     [-Ffile ]

    [-iinterface]     [-mmodule ]     [-rfile ]

    [-ssnaplen ]     [-Ttype ]     [-wfile ]

    [-Ealgo:secret ]     [ expression]

 

 

WinDump host mycom

  • Windump host IPadd와 같은 의미
  • Mycom에서 송수신되는 패킷 dump

 Windump -a

  • 네트워크 주소를 이름으로 바꾸어 출력

 -F : file을 filter 표현의 입력으로 사용

 

 -e : 화면출력시 링크 레벨 정보 표시

 

 -i : interface를 경유하는 정보 출력

 

 -E : IPsec ESP 패킷용

 

 -D : interface 카드 리스트 출력 (Win32 Only)

 

 -l : stdout 출력 라인을 버퍼링함 (캡쳐하면서 동시에 패킷을 볼 경우)

 

 -O : 패킷 매칭 코드 optimizer 사용 아니함

 

 -p : promiscuous mode로 두지 않는다

 

 -t : 시간을 출력 안함

 

 -v : 자세한 정보 출력

 

 -vv : 더 자세한 정보

 

 -x : hex 형태로 출력

 
Trackback 0 Comment 0
prev 1 ··· 25 26 27 28 29 30 31 32 33 ··· 217 next