windump使用方法

大家都知道，unix系统下有个tcpdump的抓包工具，非常好用，是做troubleshooting的好帮手。其实在windows下也有一个类似的工作，叫windump，可以方便的根据需要进行抓包。下面我举几个常用例子介绍一下这个工具的使用方法。

1、windump –D   列出本机可供抓包的全部接口。

这个命令在本机有多个网卡时非常有用。比如，我的机器装有3块网卡，而我只抓第二块网卡上的包，那么我用windump –D列出机器上所有的网卡，再指定只抓第二块网卡的包，方法如下：

windump –D

windump –i 2(网卡序号)

2、windump –n 不解析主机名，直接显示抓包的主机IP地址。

3、windump –n host 192.168.1.2   只抓关于192.168.1.2主机的包（不管包的方向）。

4、windump –n host 192.168.1.2 and udp port 514 只抓关于主机192.168.1.2上udp协议端口为514的包。

同理，我也可以抓所有tcp协议23端口的包，命令如下：

windump –n host 192.168.1.2 and tcp port 23

或者，我只抓udp 514端口的包，不管ip是多少，命令如下：

windump –n udp port 514

5、windump –n net 133.160 抓133.160网段的包，不管包的方向。

同理，我也可以抓所有133.160网段的且tcp端口为3389的包，命令如下：

windump –n net 133.160 and tcp port 3389

6、windump –n host ! 133.191.1.1 抓所有非133.191.1.1有关的包。

同理，我要抓除了133.191.1.1之外的所有机器的tcp端口为3389的包，命令如下：

windump –n host ! 133.191.1.1 and tcp port 3389

7、windump –n dst host 133.191.1.1 抓所有发送到133.191.1.1的包。

同理，可以用and 或or参数，如：

windump –n dst host 133.191.1.1 ort src host 101.1.1.1


估计这些命令大家日常工作就够用了！