[패킷덤프] 윈도우 tcpdump (dumpcap) 사용하기

윈도우에서 Linux 의 tcpdump 처럼 명령어 기반으로 패킷 필터를 걸어 패킷 덤프 파일을 저장하고 싶을 때가 있다. 물론 Wireshark 를 사용해 패킷을 모니터링하며 저장할 수 있지만 Wireshark 는 기본적으로 UI 를 띄워야만 사용이 가능하기 때문에 패킷을 실시간 모니터링하지 않아도 되는 경우는 굳이 창을 띄워 메모리를 더 잡아먹지 않아도 된다.

Wireshark 설치 시 함께 설치되는 exe 파일들 중 dumpcap.exe 프로그램을 사용하면 tcpdump 와 유사한 캡처 필터 지정, output 파일 지정 등을 지정하여 실시간 모니터링하지 않으면서 패킷 덤프가 가능하다. 아래는 그 상세 방법이다.

1. Wireshark 설치

기본적으로 패킷을 뜨려는 상태라면 Wireshark 는 설치되어 있어야 한다.

• Wireshark 설치 (https://www.wireshark.org/download.html)

2. Wireshark 설치 경로 확인

기본 설치 경로는 "C:\Program Files\Wireshark" 이다.

3. CMD 창 열기

명령 프롬프트를 우클릭하여 관리자 권한으로 실행하여 연다.

4. WIreshark 설치 경로 이동

cd (change directory) 명령어로 Wireshark 설치 경로로 이동한다.

5. 인터페이스 리스트 확인

dumpcap.exe -D 명령어로 캡처 가능한 인터페이스 리스트 확인

명령어 입력 시 패킷 캡처 가능한 인터페이스 리스트 이름과 ID 값등이 나오고, 맨 앞에는 번호가 붙어 있다. 본인이 캡처할 인터페이스의 번호만 알면 캡처가 가능하다.

해당 번호는 실제 Wireshark UI 를 실행시켰을 때 나오는 인터페이스 리스트 순서와 동일하므로 어떤 인터페이스 이름이 깨지거나 캡처하고 싶은 인터페이스를 모르겠다면 Wireshark 를 켜서 확인이 가능하다.

와이어샤크를 켜보면 이처럼 패킷이 들어오는 인터페이스는 그래프가 활성화되어 있다. 이 UI를 이용하면 본인이 캡처할 인터페이스를 확인하기 쉽다.

6. 패킷 캡처

dumpcap.exe -i 8 -w test.pcap 명령어로 패킷 덤프를 뜬다.

-i 뒤에는 캡처할 인터페이스 순서 번호

-w 뒤에는 저장할 패킷 덤프 이름

을 지정하여 패킷을 저장하면 된다. 패킷덤프 중지를 원할 시에는 Ctrl + C 를 입력하면 된다.

만약 원하는 패킷 필터를 걸고 싶다면 -f 옵션 뒤에 와이어 샤크 필터 옵션 방식과 동일한 문자열을 입력해 주면 된다.

Etc. 옵션

dumpcap.exe -h 명령어로 이외 추가 옵션을 확인할 수 있다.