류짱:Beyond MySelf

nmcap 명령어를 이용한 네트워크 패킷 수집 방법 본문

Microsoft/ETC

nmcap 명령어를 이용한 네트워크 패킷 수집 방법

リュちゃん 2011. 4. 14. 15:53

Netmon nmcap 명령어를 이용하여 네트워크 패킷을 모니터링 하는 방법입니다.
아래 샘플은 해당 서버와 특정 IP(100.100.100.1)간의 네트워크 패킷을 100M 단위로 수집 하는 방법입니다..

아래와 같이 명령하면, c:\ 밑에 netmoncap1.cap, netmoncap2.cap, 100mb 단위로 계속 로깅 됩니다. 저장 폴더는 서버 환경에 따라 변경 하시기 바랍니다

넷몬 다운로드(Microsoft Network Monitor 3.4)
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=983b941d-06cb-4658-b7f6-3088333d062f

명령 프롬프트 실행 후 넷몬이 설치 된 디렉터리로 이동 후 아래 명령어를 실행 합니다.

C:\Program Files\Microsoft Network Monitor 3>nmcap /network * /capture ipv4.address == 100.100.100.1 /File c:\netmon.chn:100M

Network Monitor Command Line Capture (nmcap) 3.4.2350.0

Loading Parsers ...

[INFO] sparser.npb:001.000 Successfully unserialized NPL parser 'C:\ProgramData\

Microsoft\Network Monitor 3\NPL\NetworkMonitor Parsers\Profiles\64BAA24A-0AAD-44

e6-9846-3BE43D698FF6\sparser.npb. (0x83008006)

Saving info to: c:\netmon.cap - using chain captures of size 1.00 MB.

ATTENTION: Conversations Enabled: consumes more memory (see Help for details)

ATTENTION: Process Tracking Disabled: Use /CaptureProcesses to enable (see Help

for details)

Note: Process Filtering Disabled.

Exit by Ctrl+C

Processing | Received: 248 Pending: 0 Saved: 4 Dropped: 0 | Time: 20 seconds.

Canceled by user pressing CTRL-C...

Backlog | Received: 248 Pending: 0 Saved: 4 Dropped: 0 | Time: 21 seconds.

Closing generated capture files ...

Completed | Received: 248 Pending: 0 Saved: 4 Dropped: 0 | Time: 21 seconds.

C:\Program Files\Microsoft Network Monitor 3>

** 패킷 수집을 중지 하시려면 Ctrl+C를 누르시면 됩니다.

만약 Netmon을 이용해 특정 포트 (UDP 53)의 패킷을 수집 하고 자 할 경우에는 아래와 같이 명령어를 실행 하시기 바랍니다.

명령 : nmcap /network * /capture udp.port==53 /File d:\netmon\netmoncap.chn:100M

감사합니다.

[참고 자료]
How to setup and collect network capture using Network Monitor tool
http://blogs.technet.com/b/msindiasupp/archive/2011/08/10/how-to-setup-and-collect-network-capture-using-network-monitor-tool.aspx