［Windows］WinDump

WinDump は Windows マシン上で実行して通信パケットをキャプチャするツールです。
GUI （画面）を持たず、CUI（コマンドライン）で利用します。Linux のツール tcpdump を Windows に移植しているのでコマンドライン引数はほとんど tcpdump と一緒です。
同じようにパケットのキャプチャをするソフトに WireShark があります。GUI（画面）を持っているので設定が楽なのですが長時間のキャプチャはできないんですね。でも WinDump は長期間のキャプチャでも動作してくれます。

ダウンロードとインストール

---

WinDump は検索サイトで検索すれば一発で出てきます。

左側が WinDump のダウンロード画面です。
WinDump を動かすためには追加で WinPcap というプログラムが必要なので、入れていない人は追加で WinPcap もダウンロードしてインストールする必要があります。画面の赤矢印からダウンロードします。

※例えば他のパケットキャプチャソフトに WireShark というのがあるのですが、これを入れている人は WinPcap は入っています。
※2013/2/27 現在の最新は 3.9.5です。画面もその時のものです。

WinPcap はインストーラ形式になっていますが、WinDump は実行ファイルそのものです。


WinDump の実行

---

WinDump は実行ファイルそのものですが、コマンドラインで起動します。

細かい引数の説明は省略します。
WinDump.exe -? でも確認できるし、検索すればたくさんのサンプルがあります。

○TCP 80 番のパケットをキャプチャする。

D:¥packetcapture> WinDump.exe  -n  -tttt  -i  2  -C  300  -w  D:¥packetcapture¥www¥20130227.pcap  tcp  port  80

○UDP 53 番のパケットをキャプチャする。

D:¥packetcapture> WinDump.exe  -n  -tttt  -i  2  -C  300  -w  D:¥packetcapture¥dns¥20130227.pcap  udp  port  53

○NetBIOS のパケットをキャプチャする。

D:¥packetcapture> WinDump.exe  -n  -tttt  -i  2  -C  300  -w  D:¥packetcapture¥netbios¥20130227.pcap  tcp  port  137  or  tcp  port  138  or  tcp  port  139  or  udp  port  137  or  udp  port  138  or  udp  port  139  or  tcp  port  445

○raw data のパケットをキャプチャする。ただし 上で取ったweb、dns、netbios の３つと RDP、Syslog を除く。

D:¥packetcapture> WinDump.exe  -n  -tttt  -i  2  -C  300  -w  D:¥packetcapture¥raw¥20130227.pcap  not tcp port 137 and not tcp port 138 and not tcp port 139 and not udp port 137 and not udp port 138 and not udp port 139 and not tcp port 445 and not tcp port 80 and not udp port 53 and not tcp port 514

---

Windows Tools のページに戻る