大家都知道，unix系統下有個tcpdump的抓包工具，非常好用，是做troubleshooting的好幫手。其實在windows下也有一個類似的工作，叫windump，可以方便的根據需要進行抓包。下面我舉幾個常用例子介紹一下這個工具的使用方法。

　　1、windump –D  列出本機可供抓包的全部接口。

　　這個命令在本機有多個網卡時非常有用。比如，我的機器裝有3塊網卡，而我只抓第二塊網卡上的包，那么我用windump –D列出機器上所有的網卡，再指定只抓第二塊網卡的包，方法如下：

　　windump –D

　　windump –i 2(網卡序號)

　　2、windump –n 不解析主機名，直接顯示抓包的主機IP地址。

　　3、windump –n host 192.168.1.2  只抓關于192.168.1.2主機的包（不管包的方向）。

　　4、windump –n host 192.168.1.2 and udp port 514 只抓關于主機192.168.1.2上udp協議端口為514的包。

　　同理，我也可以抓所有tcp協議23端口的包，命令如下：

　　windump –n host 192.168.1.2 and tcp port 23

　　或者，我只抓udp 514端口的包，不管ip是多少，命令如下：

　　windump –n udp port 514

　　5、windump –n net 133.160 抓133.160網段的包，不管包的方向。

　　同理，我也可以抓所有133.160網段的且tcp端口為3389的包，命令如下：

　　windump –n net 133.160 and tcp port 3389

　　6、windump –n host ! 133.191.1.1 抓所有非133.191.1.1有關的包。

　　同理，我要抓除了133.191.1.1之外的所有機器的tcp端口為3389的包，命令如下：

　　windump –n host ! 133.191.1.1 and tcp port 3389

　　7、windump –n dst host 133.191.1.1 抓所有發送到133.191.1.1的包。

　　同理，可以用and 或or參數，如：

　　windump –n dst host 133.191.1.1 ort src host 101.1.1.1