|
| 运行WinDump WinDump是基于DOS的程序,在DOS提示符下运行。 |
运行WinDump首先打开在Windows下DOS提示符。顺序选择开始-运行command(如果你使用98/ME)或cmd(如果你用的是NT/2000/XP),打开熟悉的“黑色视窗”
正式的WinDump提供详细说明()包含强大处理功能,如你有足够耐心去读完这说明书。幸运的是,WinDump有若干经常使用的方法。
在开始使用WinDump前,你必须找到以太网卡上“接口号”。Windows系统能够同时和多个网络连网。刚好因为你知道这里只有一个以太网卡在你的PC上不呈献网卡的界面号是1。非以太网界面的也统计。你需要一拨号连接设置(也是以太网界面的)因此你的以太网卡结果是#2!运行得到界面列表。在DOS指令提示符下
C:widumpwindump.exe -D
注1:使用windump.exe正确路径。依据于此程序保存在哪个硬盘里。
注2.WinDump参数D与d是不一样的
PCs上出现什么
------------------------------
C:widumpwindump.exe -D
1. PPPMAC (PPP adaptor)
2. DLKFET (D-link DFE-530TX PCI Fast Ethernet Adaptor)
------------------------------
从列表中选择界面相当容易,(#2在上述例子中)
现在开始使用WinDump。让我们假定DS100你感兴趣在192.168.100.90界面号是2。使用如下:
windump.exe -i 2 host 192.168.100.90
过虑出所有特定IP-地址相关。确实所有的数据包记入IP,ICMP协议(包括PING指令),ARP协议,等等。另外的可能性是过虑出所有的通信信息在特定的端口号:
windump.exe -i 2 port 65535
如是你只对数据通信感兴趣(IP通信信息),然后你能设定更小范围的过滤。加入IP选项将过滤出所有“开销”象ARP和ICMP且只出现IP数据包:
windump.exe -i 2 ip host 192.168.100.90
由缺省值,所有的数据包和时间信息显示出来。这在大多情况下没有用因此你可以关掉加入-T参数-在屏幕上的显示的信息,更紧凑更容易读。
windump.exe -i 2 -t ip host 192.168.100.90
经缺省值WinDump不显示MAC地址数据包。有时有必要检查MAC。IP地址的数据包也许显示正确,但实际上发送错误的MAC,如果你想看到这请加入 –E选项:
windump.exe -i 2 -t -e ip host 192.168.100.90
最后,你可能看到数据包且他们传送什么数据。加上-X -x -s 400使WinDump显示更大范围的信息,使此上升至400个字节的数据包(你可以选择不同的字节数):
windump.exe -i 2 -t -e -X -x -s 400 ip host 192.168.100.90
你可以直接WinDump输出至一文件(以便你能晚些时侯学习或发送给我们),在通常DOS方式下(指定你想的任意文件名)
windump.exe -i 2 -t ip host 192.168.100.90 > logfile.txt
阅读(2930) | 评论(0) | 转发(0) |
