윈도우에서 Linux 의 tcpdump 처럼 명령어 기반으로 패킷 필터를 걸어 패킷 덤프 파일을 저장하고 싶을 때가 있다. 물론 Wireshark 를 사용해 패킷을 모니터링하며 저장할 수 있지만 Wireshark 는 기본적으로 UI 를 띄워야만 사용이 가능하기 때문에 패킷을 실시간 모니터링하지 않아도 되는 경우는 굳이 창을 띄워 메모리를 더 잡아먹지 않아도 된다.
Wireshark 설치 시 함께 설치되는 exe 파일들 중 dumpcap.exe 프로그램을 사용하면 tcpdump 와 유사한 캡처 필터 지정, output 파일 지정 등을 지정하여 실시간 모니터링하지 않으면서 패킷 덤프가 가능하다. 아래는 그 상세 방법이다.
1. Wireshark 설치
기본적으로 패킷을 뜨려는 상태라면 Wireshark 는 설치되어 있어야 한다.
- Wireshark 설치 (https://www.wireshark.org/download.html)
2. Wireshark 설치 경로 확인
기본 설치 경로는 "C:\Program Files\Wireshark" 이다.
3. CMD 창 열기
명령 프롬프트를 우클릭하여 관리자 권한으로 실행하여 연다.
4. WIreshark 설치 경로 이동
cd (change directory) 명령어로 Wireshark 설치 경로로 이동한다.
5. 인터페이스 리스트 확인
dumpcap.exe -D 명령어로 캡처 가능한 인터페이스 리스트 확인
명령어 입력 시 패킷 캡처 가능한 인터페이스 리스트 이름과 ID 값등이 나오고, 맨 앞에는 번호가 붙어 있다. 본인이 캡처할 인터페이스의 번호만 알면 캡처가 가능하다.
해당 번호는 실제 Wireshark UI 를 실행시켰을 때 나오는 인터페이스 리스트 순서와 동일하므로 어떤 인터페이스 이름이 깨지거나 캡처하고 싶은 인터페이스를 모르겠다면 Wireshark 를 켜서 확인이 가능하다.
와이어샤크를 켜보면 이처럼 패킷이 들어오는 인터페이스는 그래프가 활성화되어 있다. 이 UI를 이용하면 본인이 캡처할 인터페이스를 확인하기 쉽다.
6. 패킷 캡처
dumpcap.exe -i 8 -w test.pcap 명령어로 패킷 덤프를 뜬다.
-i 뒤에는 캡처할 인터페이스 순서 번호
-w 뒤에는 저장할 패킷 덤프 이름
을 지정하여 패킷을 저장하면 된다. 패킷덤프 중지를 원할 시에는 Ctrl + C 를 입력하면 된다.
만약 원하는 패킷 필터를 걸고 싶다면 -f 옵션 뒤에 와이어 샤크 필터 옵션 방식과 동일한 문자열을 입력해 주면 된다.
Etc. 옵션
dumpcap.exe -h 명령어로 이외 추가 옵션을 확인할 수 있다.
'개발 노트 > 네트워크' 카테고리의 다른 글
[프로토콜] IP Version 4 (IPv4) (0) | 2018.11.20 |
---|---|
[프로토콜] IP Fragmentation / IP 단편화 (0) | 2018.11.06 |
[프로토콜] IP Header (0) | 2018.11.05 |
[프로토콜] UDP Header / UDP 동작 (0) | 2018.10.30 |
[프로토콜] TCP 통신 (0) | 2018.10.28 |