본문 바로가기

ETC

nmcap 명령어를 이용한 네트워크 패킷 수집 방법

Netmon nmcap 명령어를 이용하여 네트워크 패킷을 모니터링 하는 방법입니다.
아래 샘플은 해당 서버와 특정 IP(100.100.100.1)간의 네트워크 패킷을 100M 단위로 수집 하는 방법입니다..

아래와 같이 명령하면, c:\ 밑에 netmoncap1.cap, netmoncap2.cap, 100mb 단위로 계속 로깅 됩니다. 저장 폴더는 서버 환경에 따라 변경 하시기 바랍니다

넷몬 다운로드(Microsoft Network Monitor 3.4)
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=983b941d-06cb-4658-b7f6-3088333d062f

명령 프롬프트 실행 후 넷몬이 설치 된 디렉터리로 이동 후 아래 명령어를 실행 합니다.

C:\Program Files\Microsoft Network Monitor 3>nmcap /network * /capture ipv4.address == 100.100.100.1 /File c:\netmon.chn:100M

Network Monitor Command Line Capture (nmcap) 3.4.2350.0

Loading Parsers ...

[INFO] sparser.npb:001.000 Successfully unserialized NPL parser 'C:\ProgramData\

Microsoft\Network Monitor 3\NPL\NetworkMonitor Parsers\Profiles\64BAA24A-0AAD-44

e6-9846-3BE43D698FF6\sparser.npb. (0x83008006)

Saving info to: c:\netmon.cap - using chain captures of size 1.00 MB.

ATTENTION: Conversations Enabled: consumes more memory (see Help for details)

ATTENTION: Process Tracking Disabled: Use /CaptureProcesses to enable (see Help

for details)

Note: Process Filtering Disabled.

Exit by Ctrl+C

Processing | Received: 248 Pending: 0 Saved: 4 Dropped: 0 | Time: 20 seconds.

Canceled by user pressing CTRL-C...

Backlog | Received: 248 Pending: 0 Saved: 4 Dropped: 0 | Time: 21 seconds.

Closing generated capture files ...

Completed | Received: 248 Pending: 0 Saved: 4 Dropped: 0 | Time: 21 seconds.

C:\Program Files\Microsoft Network Monitor 3>

** 패킷 수집을 중지 하시려면 Ctrl+C를 누르시면 됩니다.

만약 Netmon을 이용해 특정 포트 (UDP 53)의 패킷을 수집 하고 자 할 경우에는 아래와 같이 명령어를 실행 하시기 바랍니다.

명령 : nmcap /network * /capture udp.port==53 /File d:\netmon\netmoncap.chn:100M

감사합니다.

[참고 자료]
How to setup and collect network capture using Network Monitor tool
http://blogs.technet.com/b/msindiasupp/archive/2011/08/10/how-to-setup-and-collect-network-capture-using-network-monitor-tool.aspx