核心工具:WinDump(命令行捕获工具)
WinDump是WinPcap官方提供的命令行工具(类似Linux的tcpdump),需先安装:
- 安装WinPcap
- 从官网下载安装包(https://www.winpcap.org),按提示完成安装。
- 安装WinDump
- 下载地址:https://www.winpcap.org/windump/
- 解压后,将
windump.exe放入系统路径(如C:\Windows\System32)。
WinDump基础命令
在命令提示符(CMD) 或 PowerShell 中输入命令:
查看可用网络接口
windump -D
输出示例:
\Device\NPF_{A1B2C3D4} (Realtek PCIe GbE Family Controller)
2.\Device\NPF_{E5F6G7H8} (Microsoft Wi-Fi Direct Virtual Adapter)捕获指定接口的数据包
windump -i 1 # 使用接口1(根据-D显示的编号)
按 Ctrl+C 停止捕获,默认显示数据包头部信息。
常用参数
| 参数 | 作用 | 示例 |
|---|---|---|
-n |
禁用域名解析(显示IP) | windump -i 1 -n |
-w |
保存到文件 | windump -i 1 -w capture.pcap |
port |
过滤端口 | windump -i 1 port 80 |
host |
过滤IP | windump -i 1 host 192.168.1.1 |
-c |
捕获指定数量包 | windump -i 1 -c 10 |
组合过滤示例
windump -i 1 src host 192.168.1.100 and dst port 443 -w https.pcap
含义:捕获从168.1.100发往HTTPS端口(443)的流量,并保存为https.pcap。
高级用法
解析数据包内容
windump -i 1 -A -X # 显示ASCII和十六进制格式
实时统计流量
windump -i 1 -q -t # 简洁时间戳模式
使用BPF语法过滤
支持复杂伯克利包过滤(BPF)规则:
windump -i 1 "tcp[13] & 2 != 0" # 捕获所有TCP SYN包
常见问题解决
-
提示
Unable to open adapter- 原因:接口编号错误或权限不足。
- 解决:
- 用管理员身份运行CMD/PowerShell。
- 用
windump -D确认接口编号。
-
捕获文件无法打开
- 用Wireshark分析
.pcap文件:wireshark capture.pcap
- 用Wireshark分析
-
无数据包显示
- 检查防火墙是否阻止WinPcap。
- 尝试
windump -i 1 -f "ip"过滤基础IP流量。
替代方案(推荐)
WinPcap已停止更新,建议使用更现代的 Npcap(兼容WinPcap API):
- 下载Npcap:https://npcap.com
- 安装时勾选 “Install Npcap in WinPcap API-compatible Mode”。
- 使用
windump或tshark(Wireshark命令行工具)命令不变。
引用说明
- WinPcap官网:https://www.winpcap.org
- WinDump手册:https://www.winpcap.org/windump/docs/manual.htm
- BPF过滤器语法参考:https://www.tcpdump.org/manpages/pcap-filter.7.html
注意:操作需管理员权限,部分网络环境需关闭防火墙或安全软件拦截。
原创文章,发布者:酷番叔,转转请注明出处:https://cloud.kd.cn/ask/9937.html
