WinDumpの使い方
FTPパケットをキャプチャする必要があったので、そのときのメモ。
キャプチャはずっと行うのでダンプファイルをローテーションさせる必要があった。
ダンプファイルの解析はWiresharkを使用したりする。
windump -r d:\cap\ftp_cap0 -X
でも見れる。
以下のファイルをダウンロードする。
WinPcap
http://www.winpcap.org/
WinDump
http://www.winpcap.org/windump/WinPcapをインストールする。
基本的に次へを押すだけ。windump.exeを適当な場所に保存する。
今回は"d:\cap"にした。以下のコマンドをDOSプロンプトから実行。
windump -i 1 -s 0 -C 1 -W 5 -w d:\cap\ftp_cap -n host 192.168.0.10 and port ftp
192.168.0.10(FTPサーバー)のFTP通信を全てd:\capにftp_cap0~ftp_cap4でファイルに保存する。
ftp_cap4が1MBを超えるとftp_cap0の内容が消去されて保存されていく。
何か異常があればd:\capのフォルダごとバックアップしたりする?
-i 1 :LANボードのインタフェース番号(windump -D で事前に確認)
-s 0 :パケットを全て保存
-C 1 :1MB(=1,000,000B)を超えると次ファイルを作成
-W 5 :ファイル保存数を5ファイルにする
-w d:\cap\ftp_cap :保存先ファイル(-W でこの後に0~の番号が自動付加される)
-n :IPアドレスの名前解決をしない
host 192.168.0.10 :このIPアドレスのみキャプチャ(ここではFTPサーバーを指定)
and port ftp :FTPポートのみ(21?)and は繋いでるだけ