WinDump中文使手册.doc

WinDump使用提示基本用法：windump -aBdDeflnNOpqRStvxX -c count -F file -i interface -m module -r file -s snaplen -T type -w file -E algo:secret expression 主要参数有选项和表达式两类。下面说明几个必要的选项和表达式：-i 指定要监听的网络接口，可以使用windump -D 列出当前系统中所有的网络设备接口，不指定的话是设备列表中找得的第一个。例如：./WinDump.exe -D1.DeviceNPF_GenericNdisWanAdapter (Generic NdisWan adapter)2.DeviceNPF_6AA36CF4-E4FD-49BF-93E5-DC29AB8A3AA5 (SiS NIC SISNIC (Microsoft s Packet Scheduler) )则./WinDump.exe./WinDump.exe -i 1./WinDump.exe -i DeviceNPF_GenericNdisWanAdapter都是监听第一个网络接口设备Generic NdisWan adapter。./WinDump.exe -i 2./WinDump.exe -i DeviceNPF_6AA36CF4-E4FD-49BF-93E5-DC29AB8A3AA5都是监听第二个网络接口设备SiS NIC SISNIC (Microsoft s Packet Scheduler)。如果不指定表达式，所有通过指定接口的packet都输出，否则只把表达式expression为真的输出。最基本的表达式是这样的：proto dir type idproto 协议，可以是ether, fddi, tr, ip, ip6, arp, rarp, decnet, tcp , udp中任一个或它们的表达式组合，如果不指定，所有和后面的type一致的都考虑在内。dir packet传输的方向，可以是src, dst中的任一个或它们的表达式组合。不指定的话，相当于src or dst 。type 指定后面的id是网络地址、主机地址还是端口号，可以是host, net ,port中任一个，如果不指定，默认为host。id 就是希望监听的网络或主机或端口地址。一个覆盖所有元素的表达式如下：ether src host 00:11:D8:6A:33:22./WinDump.exe -i 2 ether src host 00:11:D8:6A:33:22监听所有从本地网卡向外发的packet，其中00:11:D8:6A:33:22是本地网卡的mac地址。./WinDump.exe -i 2 udp dst port 135监听所有发给本地135 udp端口的packet。更复杂的表达式是以上基本的表达式的逻辑组合，可用于组合的关键字有and, or, not，同时构成基本表达式的四类运算都是可选，不是必须的，比如：“host foo and not port ftp and not port ftp-data”，其中foo代表主机名，其他都是关键字。此外，有gateway, broadcast , multicast , mask , protochain , proto , less , greater 四个关键字和一些算术表达式、逻辑符合等。gateway foo 其中，foo是主机名，如果某个packet以foo为gateway，表达式为真，也就是该packet的ether源或目的地址是foo，而ip源和目的地址都不是foo。broadcast,multicast 跟在ether或者ip、ip6后面表示某个packet是广播包、多播包，比如“ether broadcast”，“ip multicast”。mask 和net一起说明网络地址，例如“net 192.168.0 mask ”。protochain 跟在ip、ip6后面说明更上层的协议字，比如“ip protochain 6”。proto 跟在ether或者ip、ip6后面表示更上层的协议，跟在“ether proto”之后的可以是ip, ip6, arp, rarp, atalk, aarp, decnet, sca, lat, mopdl, moprc, iso，跟在“ip proto”或“ip6 proto”之后的可以是icmp, icmp6, igmp, igrp, pim, ah, esp, udp, tcp，注意对于有些本身就是关键字的要加“”转义，比如“ether proto ip”。其他表达式是这样的格式：expr relop expr其中，relop 可以是 , =, dat & tail -f dat”.” n 不要将地址（如主机地址，端口号）转换为名称 -N 不要打印主机名称的域名限定。如：如果你使用该参数，TCPDUMP会输出“NIC”而不是“NIC。DDN。MIL”。-m 从文件模块中载入SMI MIB 模块定义。这个选项可以为TCPDUMP载入多个MIB模块-O 不要运行包匹配代码优化器。只有在你怀疑优化器有问题时可以使用这个参数。-p 不要让接口处于“混乱”模式。注意接口可能由于其他原因处于“混乱”模式；因此“-p”不能用作以太网络主机或广播的缩写。-q 快速（安静？）输出。打印较少的协议信息，因此输出行更短。-r 从文件中读取包（与参数据-W一起使用）。如果文件是“-”就使用标准输入。-s 不使用默认的68个字节，更改从每个包中获取数据的字节数量（ SunOS系统实际最小为96）。对于IP，ICMP，TCP和UDP包68个字节已足够，但是对命名服务和NFS包，他们的协议会被截断（见下面）。包被截断是因为在使用参数“proto”输出时指定受限制的快照，proto是被截断协议层的名称。注意如果使用大的快照会增加处理包的时间，并且明显地减少包的缓存数量。也许会导致包的丢失。你应该将snaplen 设置成你感兴趣协议的最小数。当snaplen 为0时接收整个包。-T 根据表达式将选中的数据包表达成指定的类型。当前已有的类型有CNFP（Cisco的网络流量协议），rpc（远端程序调用），rtp（实时程序协议）， rtcp（实时程序控制协议），snmp（简单网络管理协议），vat（可视单频工具），和wb（分布式白板）。 -R 假设ESP/AH包遵守旧的说明（RFC1825到RFC1829）。如果该参数被指定，TCPDUMP不打输出域。因为在ESP/AH说明中没有协议版本，TCPDUMP就无法推断出其版本号。 -S 输出绝对TCP序列号，而不是相对号。-t 每个捕获行不要显示时间戳。 -tt 每个捕获行显示非格式化的时间时间戳。-v 详细输出。例如，显示生存时间TTL，标识符，总长度和IP数据包的选项。也进行额外的包完整性较验，如验证IP和ICMP的头标较验值。-vv 更为详细的输出。例如，显示NFS中继包中的其他域。-vvv 很详细的输出。如，完全输出TELNET SB SE选项。带-X参数的TELNET，打印并以十六进制输出。-w 不对原始数据包解析打印而是转到文件中去。以后可用-r选项打印。当文件名为“-”表示标准输出。 -x 以十六进制（去除链路层头标）输出每个数据包。输出整个包的小部分或snaplen 个字节。-X 输出十六进制同时，输出ASCII码。如果-x也被设置，数据包会以十六制/ASCII码显示。这对于分析新协议非常方便。如果-x也没有设置，一些数据包的部分会以十六制/ASCII码显示。 Win32特殊扩展-B 以千字节为单位设置驱动缓存。默认缓存为1M（即1000）。如果在获取数据包时有数据丢失，建议使用该参数增大核心缓存大小，因为驱动缓存大小对数据捕获性能有很大影响。-D 显示系统上可用的网卡列表。该参数将返回每块网卡的号码，名称和描述。用户可以输入“WinDump i 网卡名称”或“WinDump i 网卡号码”。如果机器有多块网卡，不带参数的WINDUMP命令会从系统的第一块可用网卡开始。表达式选择哪些包被捕获。如果没有指定表达式，会捕获所有在网络中的数据包。否则只获捕表达式为真的数据包。表达式由一个或多个原语组成。原语通常由一个 ID（名称或号码）前面加一个或多个限定词组成。有三种不同的限定词。类型限定词指出id，名称或号码属于哪种类型。可能的类型包括：host,net和 port。如host foo, net 128.3, port 20. 如果没有指定类型，假设为host。方向限定词指出特定的传输方向，是从id传来还是传到id。可能方向是src, dst, src or dst 和 src and dst。例如src foo, dst net 128.3, src or dst port ftp-data。如果没有方向限定词将指定src or dst。对于空链路层（像SLIP这样的点到点协议），可以用inbound和outbound 限定词指明需要的方向。协议限定词限定匹配某类特定的协议。可能的协议有：ether, fddi, tr, ip, ip6, arp, rarp, decnet, tcp和udp。如ether src foo, arp net 128.3, tcp port 21。如没指定协议，则假设匹配所有协议。如src foo 指 (ip or arp or rarp) src foo (但后面的表达式不合法法)（except the latter is not legal syntax）, net bar 指 (ip or arp or rarp) net bar 和 port 53 指 (tcp or udp) port 53。 fddi 实际上是ether的别名；解析器会认为两者都是指“指定接口中使用的数据链路层”FDDI头标包括类似以太网的源和目的地址，经常包含类似以太网的包类型，所以你可像对以太网字段一样过滤FDDI域。FDDI头标也包括其他域，但你不能在表达式中直接使用他们。同样tr也是ether的别名；前一段FDDI头标的情况也适用于令牌环网头标。除了以上所讲的，还有一些特殊的原语关键字不使用这种方式：gateway, broadcast, less, greater 和算术表达式，都描述如下： 通过使用and, or和 not 结合原语，构成更复杂的过滤表达式。如host foo and not port ftp and not port ftp-data。为了减少输入，可以忽略相同的限定词列表。如tcp dst port ftp or ftp-data or domain 实际等同于 tcp dst port ftp or tcp dst port ftp-data or tcp dst port domain.-WinPcap过滤表达式语法 注：该文档从tcpdump的主页上获得，在能够找到它的原始版本。Wpcap过滤器基于已公开的断言语法。一个过滤器是一串包括过滤表达式的ASCII字符串。Pcap_compile()接受表达式并利用一个程序将之转化为核心层的包过滤器。表达式选择将要接受的数据包。若未给出表达式，网络上的所有数据包将被核心层的过滤驱动所接受。否则，只有满足表达式为”ture”的数据包会被接受。表达式可以包括一个或多个原子式。原子式通常由一个带前置限定词的id（名称或数字）所组成。有三种不同的前置限定词：Type 限定词指定名称或数字所指向的类别。可能的类别有host、net和port。例如：host foo、net 128.3、port 20。若未指定类别限定词，默认为host。Dir 限定词指定一个到和/或从id的特定的传输方向。可能的方向有src、dst、src or dst和src and dst。例如：src foo、dst net 128.3、src or dst port ftp-data。若没有该限定词，默认为src or dst。对于null链路层（例如像slip这种点对点的协议）inbound和outbound这两上限定词能够指定想要的方向。Proto 限定词限定一个特殊的协议。可能的协议有：ether、fddi、tr、ip、ip6、arp、rarp、decnet、tcp和udp。例如： ether src foo、arp net 128.3、tcp port 21。若没有协议限定词，则默认为所有与类别相一致的协议。例如：src foo的意思是(ip or arp or rarp) src foo（除非后面的语法不合法），net bar的意思是(ip or arp or rarp) net bar，port 53的意思(tcp or udp) port 53。fddi实际上是ether的一个别名；解析器将它们的意思处理为“在指定网络接口下使用数据链路层。”FDDI首部包括类以太网的源和目的地址，并且通常包括类以太网的包类型，因此你能够像对以太网一样在这些部分对FDDI进行过滤。FDDI首部还包括其他部分，但你无法在过滤表达式中精确命名它们。类似的，tr是ether的一个别名；之前对FDDI首部的解释也适用于令牌环网的首部。做为对以上的补充，还有一些特殊的原子式的关键字并不遵循这种模式：gateway、broadcast、less、greater和算术表达式。所有这些将在后面讲到。更复杂的过滤表达式由and、or和not将原子式组合而成。例如：host foo and not port ftp and not port ftp-data。简略起见，样同的限定试列表可以省略。例如：tcp dst port ftp or ftp-data or domain与tcp dst port ftp or tcp dst port ftp-data or tcp dst port domain完全一样。合法的原子式有：dst host host如果IPv4/v6数据包的目的地址是host则表达式值为true，host可以是IP地址或主机名。src host host如果IPv4/v6数据包的源地址是host则表达式值为true。host host如果IPv4/v6数据包的源或目的地址是host则表达式值为true。以上的任一主机表达式都能够用关键字如ip、arp、rarp或ip6预先指定，就像以下所示：Ip host host等价于：Ether proto ip and host host如果host是多个IP地址，每个地址都会被做匹配检查。ether dst ehost若以太网目的地址是ehost则值为true。ehost可以是/etc/ethers中的一个名称或一个数字（请见ethers(3N)的数字格式）。ether src ehost若以太网源地址是ehost则值为true。ether host ehost若以太网源或目的地址是ehost则值为true。gateway host若数据包以host为网关则值为true。例如：以太网的源或目的地址是host但无论是IP地址的源还是目的地址都不是host。Host必须是一个名称并且能够在机器的host-name-to-IP-address机制（如主机名文件、DNS、NIS）和host-name-to-Ethernet -address机制（如/ect/ethers）中找到。（一个等价的表达式是：ether host ehost and not host host它能够使用名称或数字表示host / ehost。）目前来说，这种语法无法在能够运行IPv6的结构下工作。dst net net若IPv4/v6的目的地址的网络号是net，则值为true。Net可以是/etc/networks中的一个名称或是一个网络号（详细内容请见networks(4)）。src net net若IPv4/v6的源地址的网络号是net，则值为 net若IPv4/v6的源地址或目的地址的网络号是net，则值为 net mask netmask若IP地址根据指定的子网掩码netmask能与net匹配。可以用限定词src或dst限定。注意：这个语法在IPv6中是不合法的。net net/len若IPv4/v6地址根据指定的子网掩码长度能与net匹配。可以用限定词src或dst限定。dst port port若数据包是ip/tcp、ip/udp、ip6/tcp或ip6/udp并且目的端口为port，则值为true。端口可以是一个数字或一个在 /etc/services（详见tcp(4P)和udp(4P)）中的名称。若使用名称，则端口和协议都将被指定。若使用数字或不明确的名称，则只有端口地址被指定（例如：dst port 513将显示tcp/login和udp/who的数据流，port domain将显示tcp/domain和udp/domain的数据流）。src port port若数据包的源端口的值是port，则值为true。port port若数据包的源或目的端口地址的值是port，则值为true。以上所有关于端口的表达式都可以用关键字，tcp或udp，预先指定，如：tcp src port port仅当tcp的数据包的源端口地址为port的时才匹配。less length若数据包的长度小于等于length，则值为true。这相当于：len = length。ip proto protocol若数据包是协议类型为protocol的IP数据包（详见ip(4P)）。Protocol可以是一个数字或一个名称：icmp、icmp6、igmp、 igrp、pim、ah、esp、vrrp、udp或tcp。注意标识符tcp、udp、和icmp同时又是关键字并且必需经过反斜线（）过滤（在C- shell中是）。注意这个原子式不对协议首部进行分析。（这段话理解不太清楚,原文如下:Note that the identifiers tcp, udp, and icmp are also keywords and must be escaped via backslash (), which is in the C-shell. Note that this primitive does not chase the protocol header chain.）ip6 proto protocol若数据包是协议类型为protocol的IPv6数据包。注意这个原子式不对协议首部进行分析。ip6 protochain protocol若数据包是IPv6数据包，并且在它的协议首部串中包括类型为protocol的协议首部，则值为ture。例如：ip6 protochain 6与任何在协议首部串中包括TCP协议首部的IPv6数据包匹配。数据包可能包括，例如：在IPv6首部和TCP首部之间包括authentication 首部，routing首部或hop-by-hop option首部。由该原子式发送的BPF编码是很复杂的并且在tcpdump中不能被BPF编码优化器所优化，因此它可能有点慢。ip protochain protocol等价于ip6 protochain protocol，但是它用于IPv4。ether broadcast若数据包是以太网广播数据包，则值为true。关键字ether是可选的。ip broadcast若数据包是IP广播数据包，则值为true。它会检察所有全一和全零的广播协定并查寻本地子网掩码。ether multicast若数据包是以太网多播数据包，则值为true。Ether关键字是可选的。这是ether0 & 1 != 0的简写。ip multicast若数据包是IP多播数据包，则值为true。ip6 multicast若数据包是IPv6多播数据包，则值为true。ether proto protocol若数据包是protocol类型的以太协议，则值为true。Protocol可以是一个数字或以下中的一个名称：ip、ip6、arp、rarp、 atalk、decnet、sca、lat、mopdl、moprc、iso、stp、ipx或netbeui。注意这些标识符同时也是关键字并且必须用反斜线（）过滤。在FDDI（如fddi protocol arp）和令牌环（如tr protocol arp）的例子中，对于大多数的协议来说，协议证明来自802.2的逻辑链接控制（LLC）首部，LLC通常在首部分层中处于FDDI或令牌环的顶层。当过滤FDDI或令牌环网络的大部分协议时，对于压缩以太网tcpdump只检查在所谓的SNAP格式的组织单元标识符（OUI）值为0x000000的 LLC首部的协议的ID字段；它并不检查数据包是否在SNAP格式下拥有OUI值为0x000000。例外的是iso，它检查的是LLC首部的DSAP （Destination Service Access Point）和SSAP（Source Service Access Point）字段；stp和netbeui检查LLC首部的DSAP；还有atalk检查拥有OUI为0x080007的SNAP格式数据包和 Appletalk etype（这个怎么译）。在以太网的例子中，tcpdump检查大部分协议的以太网类型字段；例外的是iso、sap和netbeui，对于这些它检查802.3的帧，然后像它对 FDDI和令牌环网做的那样检查LLC首部；atalk，它检查以太网帧中的Appletalk etype并且同时像在FDDI和令牌环网中那样检查SNAP格式的数据包；aarp，它在以太网帧或OUI值为0x000000的802.2 SNAP帧中检查Appletalk ARP etype；还有ipx，它检查以太网帧中的IPX etype，LLC首部的IPX DSAP，没有LLC首部封装的802.3的IPX和SNAP帧中的IPX etype。decnet src host若DECNET的源地址是host，则值为true，它可能是一个格式为10.123的地址或一个DECNET的主机名称。DECNET主机名称支持只有在配置成运行DECNET的Ultrix系统中可用。decnet dst host若DECNET目的地址为host，则值为true。decnet host host若DECNET的源或目的地址为host，则值为true。ip、ip6、arp、rarp、atalk、decnet、iso、stp、ipx、netbeui缩写为：ether proto pP是以上协议中的一个。lat、moprc、mopdl缩写为：ether proto pp是以上协议中的一个。注意tcpdump目前还不知道如何解析这些协议。vlan vlan_id若数据包是IEEE 802.1Q VLAN数据包，则值为true。若vlan_id被指定，则仅当数据包为指定的vlan_id，值才为true。注意在表达式中遇到的第一个关键字vlan在假设数据包为VLAN数据包的前提下改变了剩下的表达式的解码偏移量。tcp、udp、icmp缩写为：ip proto p or io6 proto pp是以上协议中的一个。iso proto protocol若数据包是协议类型为protocol的OSI数据包，则值为true。Protocol可以是一个数字或以下名称中的一个：clnp、esis或isis。clnp、esis、isis缩写为：iso proto pp是以上协议中的一个。注意tcpdump在解析这些协议时所做的工作并不完全。expr relop expr若关系式如下：relop是 、=、=、=、!= 中的一个，并且expr是一个由正整常数（用标准C的语法表达）、标准二进制操作+、*、/、&、| 和指定数据包存取，则值为true。要存取数据包内的数据，可以使用以下的语法：proto expr : size proto 是ether、fddi、tr、ip、arp、rarp、tcp、udp、icmp或ip6同的一个，并且用索引操场作指定协议层。注意tcp、udp和其他上层协议类型仅应用于IPv4，而不能应用于IPv6（这在将来将会改进）。相对于指定的协议层，字节偏移量是由expr给出。Size是可选的，它指定感兴趣的字段的字节数；它可以是1、2或4，默认为1。由len指定的长度操作会给出数据包的长度。例如：ether0 & 1 != 0捕获所有多播的数据流。表达式ip0 & 0xf != 5捕获所有选中的IP数据包。表达式ip6:2 & 0x1fff = 0仅捕获不分片的数据和分片数据的第0片数据。这些检查将暗中的应用于tcp和udp的索引操作。例如：tcp0总是意味着TCP首部的第一个字节，而决不会意味着一个中间片段的第一个字节。某些偏移量和字段值可能是用名称来表达而不是数值。以下的协议首部字段偏移量可用：icmptype (ICMP类型字段)、icmpcode (ICMP代码字段)和tcpflags (TCP标识字段)。以下的ICMP类型字段值可用：icmp-echoreply、icmp-unreach、icmp-sourcequench、icmp- redirect、icmp-echo、icmp-routeradvert、icmp-routersolicit、icmp-timxceed、 icmp-paramprob、icmp-tstamp、icmp-tstampreply、icmp-ireq、icmp-ireqreply、 icmp-maskreq、icmp-maskreply。以下的TCP标识字段值可用：tcp-fin、tcp-syn、tcp-rst、tcp-push、tcp-push、tcp-ack、tcp-urg。原子式可以使用以下操作进行组合：一个加上括号的原子式和操作的组（圆括号专用于Shell因此必须过滤掉）。否（！或not）。与（&或and）。或（|或or）。否具有最高的优先级。与和或具有相同的优先级且是左连接的。注意外在的and记号不是并列的，而是要求串联的。如果一个标识符给出时没有关联关键字，则假设为最近使用过的关键字。例如：not host vs and ace是以下表达式的简写：not host vs and host ace不要与以下的表达式混淆了：not ( host vs or ace )表达式参数可以以单个参数的形式也可以以多个参数的形式传给tcpdump。一般的，若表达式包括Shell metacharacters，传送单个引用参数更为容易。多个参数在解析前可用空格联接起来。-WinDump最强有力和最广泛使用的Unix命令列工具-Windows端口事实上相当普遍。我用过各种Windows版本搜索工具，例如grep。其中最有用的就是 tcpdump-为进一步分析记录、报告网络传输中数据包页眉的一种工具。Cace Technologies的工作人员已经编译一Windows端口程序命名为WinDump，它具有基于Unix系列的所有特征。方便你编译自定义界面，该程序所有的源代码也包括在内。网络流量的倾销有许多可能的应用。我已经用其判断恶性软件是否已经安装到已给的机器上，就是通过观察无任何程序运行的计算机中数据包是否播散(它也可以识别页眉信息和目的地)。除登记所有可用的流量外，该程序仅记录、报告页眉中有某些匹配信息的信息包如果你已经知道你在找什么并仅仅要这些，那么这个工具很有用。安装和基本用途WinDump分两部分。第一部分是WinPcap一系列网络记录驱动，是WinDump用来获得计算机中信息包到网络界面的信息。第二部分是程序本身，windump，在安装WinPcap library后从命令列中调用。当你运行windump时你第一个想要使用的选项是-D,它会列出目前系统中所有可使用的网络界面。默认情况下程序听从第一可用界面，但是在Windows中，它是典型的软件拨号配置器，不是实体网络配置器。-D的结果通常如下:1.DeviceNPF_GenericDialupAdapter (Generic dialup adapter)2.DeviceNPF_707E0236-BEE4-4097-93B1-56DEC35564AA (Intel DC21140 PCI Fast Ethernet Adapter (Microsofts Packet Scheduler) )要使用专门的配置器，用-i命令和配置器号运行程序。例如，如果你想使用上述Ethernet配置器，用windump -i 2。这要比通过GUID向配置器提交简单得多，但是要注意如果新硬件或软件配置器增加，那么配置器号不是保持固定不变的。Windump具有通过详细标准过滤已记录数据的能力详细的网络协议，主机或端口通常在命令列中有详细说明。其中的语法相当复杂。在程序文件中有详细解释，这有一些例子:windump -i 2 port 80通过端口80从界面#2记录所有流量windump -i 2 host 记录所有从the host .或来或到界面#2的流量windump -i 1 net 127这些参数也可以自由组合。输出记录默认情况下，程序的输出记录存在控制台。除非，你使用程序仅仅是为了观察网络流量，你都想用-w 命令将结果记录到文件。默认情况下，程序用这个名字记录已存在的文件，所以注意不要用这种方式擦掉已记录的数据!如果你打算在程序运行时查看输出文件，用-U选项。它使得程序将每一已接收信息包写到输出文件中。默认情况下，程序为数据保留1MB的缓存空间。默认情况下，windump只记录每个信息包的标题，不是full payload。-s 0选项使程序为每个信息包堆积整个raw payload。如果你和-A选项一起用，你可以以ASCII格式记录结果。例如，用这种方式记录网页，服务器会提供可读形式，不会以 gzip/deflate形式发送记录。另一个有用的选项, -C ,将数据记录到multiple files，每一个文件的长度都不多过。每一个连续文件是递增编码的。是以MB校对；如果你用-C 5，每一个文件的长度都将是5,000,000字节。当你停止程序(通过点击Ctrl-Break)时，程序向控制台提交一份报告列出所记录、阻止、丢弃(由于缺少缓存空间)的信息包数。如果程序开始丢弃信息包，你可以向记录缓冲器增加分配空间，通过-B 命令，其中是分配的千字节数。默认缓存大小是1MB。高端性能WinDump一个更强有力的用途就是它能通过IPsec将已加密的网络数据流解密。这不是简单的操作，她要求你有IPsec加密的ESP密匙，同时将tcpdump应用软件与密码使用法选项结合才能解密(一些本文以外的内容)。如果你想将有滤镜参数的外部文件列入清单，你可以用-F 选项。注意这会使程序忽略命令列中提供的任何滤镜参数。最后，如果你想使程序阅读、过滤之前已标记的数据而不是网络适配器上的现时数据，使用-r 选项。-利用WinDump来探测HTTP网页数据包 54/54powermanwindump是一个开源软件，可以进行各种协议的网络数据包探测，是一个不错的免费、开源Net Sniffer软件，当前最新版本是3.9.5，官方下载网址：/windump/install/。详细的帮助文件官方网址是：/windump/docs/manual.htm常用的参数：-w write的缩写，写入文件，供后期分析。-D 打印系统可用的网络接口列表。-in interface的缩写，选择要监测的网络接口。host 指定要监测的主机，可以是域名或IP地址。port 指定要监测的端口。src/dst source/Destination的缩写，该参数配合host和port参数一起使用，指定要监测的主机或端口为源/终点的数据包。-s size的缩写，指定抓取的每个数据包的大小，缺省是68，如果该值太小，可能会丢失数据。如果设置为0，则表示捕获整个包。-t 不显示时间。-tttt 以缺省ISO格式显示时间。tcp, udp, icmp 指定使用的协议使用范例：监测某个网站的访问数据包，如：1 运行命令行windump -i2 -w pc.dump -s 0 host 2 用浏览器访问的某个网页。3 用Ultraedit或其他16进制编辑器打开pc.dump文件，你就可以看到你对网页操作的“Request-Response”数据包了。如果你只对服务器返回的消息感兴趣，如下修改上面的命令：windump -i2 -w pc.dump -s 0 src host 反之：windump -i2 -w pc.dump -s 0 dst host windump的确是个不可多得的优秀Sniffer软件，值得收藏使用。-工具名称：Windump运行平台：Windows/Unix软件类别：免费软件网址：http:/winpcap.polito.it/install/default.htmWindump是Windows环境下一款经典的网络协议分析软件，其Unix版本名称为Tcpdump。它可以捕捉网络上两台电脑之间所有的数据包，供网络管理员/入侵分析员做进一步流量分析和入侵检测。在这种监视状态下，任何两台电脑之间都没有秘密可言，（当然加密的数据不在讨论范畴之内，而且，对数据包分析的结果依赖于你的TCP/IP知识和经验）。在W.Richard Stevens的大作TCP/IP详解卷一中，通篇采用Tcpdump捕捉的数据包来向读者讲解TCP/IP；而当年美国最出色的电脑安全专家在追捕世界头号黑客米特尼克时，也使用了Tcpdump，Tcpdump/Windump的价值由此可见一斑。该软件是免费软件，命令行下面使用，需要WinPcap驱动，该