Windowsで流れるパケットを見る（tcpdumpのWindows版）

Linuxなどにおいて、マシンに流れるＩＰパケットを見るには、tcpdumpコマンドを使えば良い。
これと同じ機能を持ったフリーソフトwindumpというのがあるのだが、
使い方まで書いてあるサイトが・・・少ないように見えるので、ちょっと書いてみる。

---

■まずは、インストール

windumpを使うには、WinPcapをインストールしないといけない。
winPcapは、

http://www.winpcap.org/default.htm

にある。

ここのdownloadをクリックして（さらにもうひとつ画面があったけど、そこもdownloadをクリックして）
exeファイルをダウンロードする。

このexeファイルをクリックすると、

という画面が出て、インストールできるようになる。

以下




というかんじで、インストールする。


次に、windumpをインストール？する
windumpは、

http://www.winpcap.org/windump/default.htm

にある。

ここのdownloadをクリックして（さらにもうひとつ画面があった気がしたけど、そこもdownloadをクリックして）
exeファイルをダウンロードする。
このWinDump.exeを適当なところにおく（あとで、コマンドラインから、このプログラムをたたくので、呼びやすいところに置いておいてくれ）

---

■使い方

コマンドラインを立ち上げ、いまダウンロードしたファイルのフォルダ（ディレクトリ）にいく。

cd /tmp

その後、たんに
windump
とたたいても、何がおこっているのかわからない

まずは、どんなデバイスがつながっているかを知るために、

windump -D

というコマンドを実行し、どんなデバイスがつながっているか見る。

その後

windump -w 出力ファイル名 -i 今、上でdumpしたデバイス

というのを、実行する。

そうしたら、ブラウザをリドローするとか、なにかパケットが流れる作業をして、

ctrl-c（コントロールキーを押しながらc)

でコマンドを終了させる。
ここまでやったのが、こんなかんじ。

---

■そうすると

こんなかんじで・・・

キャプチャできてる・・けど、バイナリだから、中身はよくわかんないけど・・・

---

■tcpdumpの場合

Linuxだとtcpdumpも入っているし、 | strings　とやると、文字部分しか表示しない。
なので、出力を画面にして（-w - )

tcpdump -w - -S 1500 | strings

などとやると、画面に出てくるようである。