内容WinDump手册名称windump–获取网络流量命令格式windump.docx

Revised by BLUE on the afternoon of December 12,2020.
内容WinDump手册名称windump–获取网络流量命令格式windump
内容：WinDump手册名（远端程序调用），rtp（实时程序协议），rtcp（实时程序控制协议），snmp（简单网络管理协议），vat（可视单频工具），和wb（分布式白板）。
-R
假设ESP/AH包遵守旧的说明（RFC1825到RFC1829）。如果该参数被指定，TCPDUMP不打输出域。因为在ESP/AH说明中没有协议版本，TCPDUMP就无法推断出其版本号。
-S
输出绝对TCP序列号，而不是相对号。
-t
每个捕获行不要显示时间戳。
-tt
每个捕获行显示非格式化的时间时间戳。
-v
详细输出。例如，显示生存时间TTL，标识符，总长度和IP数据包的选项。也进行额外的包完整性较验，如验证IP和ICMP的头标较验值。
-vv
更为详细的输出。例如，显示NFS中继包中的其他域。
-vvv
很详细的输出。如，完全输出TELNETSB…SE选项。带-X参数的TELNET，打印并以十六进制输出。
-w
不对原始数据包解析打印而是转到文件中去。以后可用-r选项打印。当文件名为“-”表示标准输出。
-x
以十六进制（去除链路层头标）输出每个数据包。输出整个包的小部分或snaplen个字节。
-X
输出十六进制同时，输出ASCII码。如果-x也被设置，数据包会以十六制/ASCII码显示。这对于分析新协议非常方便。如果-x也没有设置，一些数据包的部分会以十六制/ASCII码显示。
Win32特殊扩展
-B
以千字节为单位设置驱动缓存。默认缓存为1M（即1000）。如果在获取数据包时有数据丢失，建议使用该参数增大核心缓存大小，因为驱动缓存大小对数据捕获性能有很大影响。
-D
显示系统上可用的网卡列表。该参数将返回每块网卡的号码，名称和描述。用户可以输入“WinDump–i网卡名称”或“WinDump–i网卡号码”。如果机器有多块网卡，不带参数的WINDUMP命令会从系统的第一块可用网卡开始。
表达式
选择哪些包被捕获。如果没有指定表达式，会捕获所有在网络中的数据包。否则只获捕表达式为真的数据包。
表达式由一个或多个原语组成。原语通常由一个ID（名称或号码）前面加一个或多个限定词组成。有三种不同的限定词。
类型
限定词指出id，名称或号码属于哪种类型。可能的类型包括：host,net和port。如’hostfoo’,`',`port20'.如果没有指定类型，假设为host。
方向
限定词指出特定的传输方向，是从id传来还是传到id。可能方向是src,dst,srcordst和srcanddst。例如`srcfoo',`',`srcordstportftp-data'。如果没有方向限定词将指定srcordst。对于‘空’链路层（像SLIP这样的点到点协议），可以用inbound和outbound限定词指明需要的方向。
协议
限定词限定匹配某类特定的协议。可能的协议有：ether,fddi,tr,ip,ip6,arp,rarp,decnet,tcp和udp