윈도우즈에서는 주로 와이어샤크나 이더리얼로 패킷캡쳐해서 분석하겠지만....커맨드가 익숙한 사람들에게는 해당툴이 상당히 유용해보인다.

tcpdump 를 모델로 윈도우즈에서 사용가능하게끔 해둔거 같고...동일 회사에서 배포하는건 아닌것같다.

윈도우즈에서 패킷캡쳐를 하기위해서는 winpcap 을 먼저 설치한다.

유명한 유닉스 네트워크 툴은 대부분 libpcap라고 부르는 프로그래밍 라이브러리에 기반하는데, Libpcap은 BPF 혹은 버클리 패킷 필터(Berkeley Packet Filter)로 알려져 있는 유닉스 커널 함수에 의존한다. 최근에는 Win32 플랫폼에서도 이러한 기능을 사용할 수 있게 되었다. WinPcap이란 libpcap(packat capture library: 네트워크 패킷을 저장하고 보내는데 널리 쓰이는 네트워크 프로그래밍 API)의 Win32 포트이다.

아래링크를 통해서 다운이 가능하다.

http://www.winpcap.org/windump/install/

다운을 받으면 그냥 설치용이 아니라 system32 폴더에 해당 exe 파일을 집어넣으면 된다.

-D  : 현재 시스템에서 운영중인 네트워크 장치목록 확인

물론 장치가 한개라면 상관이 없겠지만 네트워크 카드가 여러개라면 캡쳐할 네트워크 장치를 정해줘야 한다.

Usage: windump [-aAdDeflLnNOpqRStuUvxX] [ -B size ] [-c count] [ -C file_size ]
                [ -E algo:secret ] [ -F file ] [ -i interface ] [ -M secret ]
                [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ]
                [ -W filecount ] [ -y datalinktype ] [ -Z user ]
                [ expression ]

 
좀더 자세한 Manual 페이지는 아래에서.... 리눅스에서 사용하는 옵션과 거의 동일한거 같다.
http://www.winpcap.org/windump/docs/manual.htm

  -a : 네트워크 주소를 이름으로 바꾸어 출력
  -F : file을 filter 표현의 입력으로 사용

  -e : 화면출력시 링크 레벨 정보 표시

  -i : interface를 경유하는 정보 출력

  -E : IPsec ESP 패킷용

  -D : interface 카드 리스트 출력 (Win32 Only)

  -l : stdout 출력 라인을 버퍼링함 (캡쳐하면서 동시에 패킷을 볼 경우)

  -O : 패킷 매칭 코드 optimizer 사용 아니함

  -p : promiscuous mode로 두지 않는다

  -t : 시간을 출력 안함

  -v : 자세한 정보 출력

  -vv : 더 자세한 정보

  -x : hex 형태로 출력