返回
windump中文使手册

windump中文使手册

ID:11252290

大小:79.50 KB

页数:15页

时间:2018-07-11

windump中文使手册_第1页
windump中文使手册_第2页
windump中文使手册_第3页
windump中文使手册_第4页
windump中文使手册_第5页
资源描述:

《windump中文使手册》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、WinDump使用提示基本用法:windump[-aBdDeflnNOpqRStvxX][-ccount][-Ffile][-iinterface][-mmodule][-rfile][-ssnaplen][-Ttype][-wfile][-Ealgo:secret][expression]主要参数有选项和表达式两类。下面说明几个必要的选项和表达式:-i指定要监听的网络接口,可以使用windump-D列出当前系统中所有的网络设备接口,不指定的话是设备列表中找得的第一个。例如:./WinDump.ex

2、e-D1."Device"NPF_GenericNdisWanAdapter(GenericNdisWanadapter)2."Device"NPF_{6AA36CF4-E4FD-49BF-93E5-DC29AB8A3AA5}(SiSNICSISNIC(Microsoft'sPacketScheduler))则./WinDump.exe./WinDump.exe-i1./WinDump.exe-i""Device""NPF_GenericNdisWanAdapter都是监听第一个网络接口设备Gene

3、ricNdisWanadapter。./WinDump.exe-i2./WinDump.exe-i""Device""NPF_{6AA36CF4-E4FD-49BF-93E5-DC29AB8A3AA5}都是监听第二个网络接口设备SiSNICSISNIC(Microsoft'sPacketScheduler)。如果不指定表达式,所有通过指定接口的packet都输出,否则只把表达式expression为真的输出。最基本的表达式是这样的:[proto][dir][type][id]proto协议,可以是e

4、ther,fddi,tr,ip,ip6,arp,rarp,decnet,tcp,udp中任一个或它们的表达式组合,如果不指定,所有和后面的type一致的都考虑在内。dirpacket传输的方向,可以是src,dst中的任一个或它们的表达式组合。不指定的话,相当于srcordst。type指定后面的id是网络地址、主机地址还是端口号,可以是host,net,port中任一个,如果不指定,默认为host。id就是希望监听的网络或主机或端口地址。一个覆盖所有元素的表达式如下:ethersrchost00:

5、11:D8:6A:33:22./WinDump.exe-i2ethersrchost00:11:D8:6A:33:22监听所有从本地网卡向外发的packet,其中00:11:D8:6A:33:22是本地网卡的mac地址。./WinDump.exe-i2udpdstport135监听所有发给本地135udp端口的packet。更复杂的表达式是以上基本的表达式的逻辑组合,可用于组合的关键字有and,or,not,同时构成基本表达式的四类运算都是可选,不是必须的,比如:“hostfooandnotport

6、ftpandnotportftp-data”,其中foo代表主机名,其他都是关键字。此外,有gateway,broadcast,multicast,mask,protochain,proto,less,greater四个关键字和一些算术表达式、逻辑符合等。gatewayfoo其中,foo是主机名,如果某个packet以foo为gateway,表达式为真,也就是该packet的ether源或目的地址是foo,而ip源和目的地址都不是foo。broadcast,multicast跟在ether或者ip、

7、ip6后面表示某个packet是广播包、多播包,比如“etherbroadcast”,“ipmulticast”。mask和net一起说明网络地址,例如“net192.168.0mask255.255.255.0”。protochain跟在ip、ip6后面说明更上层的协议字,比如“ipprotochain6”。proto跟在ether或者ip、ip6后面表示更上层的协议,跟在“etherproto”之后的可以是ip,ip6,arp,rarp,atalk,aarp,decnet,sca,lat,mop

8、dl,moprc,iso,跟在“ipproto”或“ip6proto”之后的可以是icmp,icmp6,igmp,igrp,pim,ah,esp,udp,tcp,注意对于有些本身就是关键字的要加“"”转义,比如“etherproto"ip”。其他表达式是这样的格式:exprrelopexpr其中,relop可以是>,<,>=,<=,=,!=,中任一个,expr是由C语言规范描述的整数常量、二进制运算符(+,-,*,/,&,

9、)、len(取长度的关键字)、包数据构成,包

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。