네트워크 모니터 캡처 유틸리티에 대한 설명

요약

이 문서에서는 네트워크 모니터에서 네트워크 트래픽을 캡처하는 데 사용할 수 있는 네트워크 모니터 캡처 유틸리티(Netcap.exe)의 사용 방법을 설명합니다.

추가 정보

Netcap은 명령 프롬프트에서만 캡처 기능을 제공합니다. 결과 캡처 파일(.cap)을 열려면 전체 네트워크 모니터 인터페이스를 사용해야 합니다.

Netcap은 Windows XP CD-ROM에 있는 지원 도구를 설치할 때 설치됩니다.

이러한 도구를 설치하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

306794

(http://support.microsoft.com/kb/306794/ )

Windows XP CD-ROM에서 지원 도구를 설치하는 방법

네트워크 모니터는 Windows Server 제품과 Microsoft Systems Management Server(SMS)에 제공됩니다.

Netcap은 Windows Server 제품에 포함된 네트워크 모니터의 버전과 유사한 캡처 기능을 제공하지만, 명령 프롬프트에서 사용해야 합니다. Netcap은 네트워크 모니터 드라이버를 설치하고 처음 Netcap 명령을 실행할 때 모든 어댑터에 바인딩합니다.

Netcap의 전체 구문은 다음과 같습니다.

 사용법: NetCap.exe [/B:#] [/T <Type> <Buffer> <HexOffset> <HexPattern>]
                   [/F:<filterfile.cf>] [/C:<capture file>] [/N:#]
                   [/L:HH:MM:SS] [/TCF:<Folder Name>]

 예: NetCap /B:20 /N:2 /T BP 100 0a ff1f /F:d:\IPFilter.CF

 /B:# - 1MB에서 1000MB 사이의 버퍼, 캡처 크기이며 기본값은 1Mb

 /T   - 트리거. 주어진 버퍼 및/또는 패턴에 도달하면 캡처를 중지합니다.
        트리거가 없을 경우 버퍼가 가득 차면 캡처가 중지됩니다.
        버퍼가 채워진 경우에도 캡처를 계속하려면 "/T N"을 사용합니다.
        일단 버퍼가 가득 차면 캡처에서 가장 오래된 프레임을 덮어씁니다.
        참고: "/T N"을 사용할 경우 캡처를 중지하려면 스페이스바를 눌러야 합니다.

       <Type>      - 'B' = 버퍼, 'P' = 패턴, 'BP' = 버퍼 후 패턴,
                     'PB' = 패턴 후 버퍼, 'N' = 트리거 없음

       <Buffer>    - '25', '50', '75', '100' 등의 % 버퍼 크기로,
                     B, BP, PB 또는 NOT P와 함께 사용

       <HexOffset> - 프레임 시작으로부터의 16진수 오프셋으로, P, BP, PB 또는 NOT B와 함께 사용

       <HexPattern>- 일치하는 16비트 패턴으로, P, BP, PB 또는 NOT B와 함께 사용.
                     패턴은 16진수의 짝수가 되어야 합니다.

 /C:<Capture File> - 전체 경로 및/또는 파일 이름으로 임시 캡처 이동.
                     유효한 로컬 또는 원격 경로가 될 수 있습니다.
                     "/C"를 지정하지 않으면 캡처 파일은
                     기본 임시 캡처 폴더에 남아 있습니다.

 /F:<filterfile.cf>- 네트워크 모니터 2.x가 생성한 캡처 필터(*.cf)

 /L:<HH:MM:SS>     - 주어진 시간(최대 99:99:99) 동안 캡처
                     참고: 이 옵션은 "/T <trigger type>"도 지정하지 않으면
                     기본 100% 트리거보다 우선합니다.

 /TCF:<Folder Name>- 임시 캡처 폴더를 영구적으로 변경합니다.
                     경고: 경로는 고정 로컬 하드 드라이브에 있어야 합니다.
                     일단 설정하면 다시 스위치를 사용하여 디렉터리를
                     변경해야 합니다.

 /Remove           - 네트워크 모니터 드라이버의 NetCap 인스턴스를 제거합니다.

 /N:<#>            - 이 컴퓨터의 NIC 인덱스 번호

NIC(네트워크 인터페이스 카드) 인덱스 번호를 확인하려면 netcap /? 명령을 사용하면 됩니다. 구문 정보에서 컴퓨터에 설치된 어댑터 목록을 볼 수 있습니다. 이 목록에서 캡처를 위한 올바른 어댑터를 선택할 수 있습니다. 예를 들어, 다음 어댑터가 있는 컴퓨터에서 전화 접속 연결을 위한 트래픽을 캡처하려면 NIC 인덱스 0을 사용하십시오.

 이러한 어댑터에 대해 아래 인덱스 구문을 사용하십시오.
 (기본값) 0 = ETHERNET (2C3D20524153) WAN (PPP/SLIP) Interface
           1 = ETHERNET (000039139635) Local Area Connection 2
           2 = ETHERNET (0000390E118E) Local Area Connection

다음 명령은 예제 Netcap 명령입니다.

10MB 버퍼를 사용하여 NIC 1의 트래픽을 캡처하려면 다음 명령을 사용하십시오.
netcap /n:1 /b:10
Netcap은 일반적으로 버퍼가 가득 차면 캡처를 중지합니다. 네트워크 모니터의 기본값인 "처음 들어간 것부터 사용"(FIFO) 버퍼링 방식으로 트래픽을 캡처하려면 다음 명령을 사용할 수 있습니다.
netcap /t n
캡처를 중지하려면 스페이스바를 누르십시오.
1MB FIFO 버퍼를 사용하여 한 시간 동안 트래픽을 캡처하려면 다음 명령을 사용하십시오.
netcap /L:01:00:00
네트워크 모니터 드라이버를 제거하려면 다음 명령을 사용하십시오.
netcap /remove

Netcap을 사용하여 만드는 캡처 파일은 기본적으로 UserProfile\Local Settings\Temp 폴더에 배치됩니다. 여기서 UserProfile은 사용자 프로필 이름입니다. /c 또는 /tcf 스위치를 사용하여 기본 폴더를 변경할 수 있습니다.

네트워크 트래픽을 캡처하는 방법이나 이 문서에서 사용된 개념 또는 용어에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

148942

(http://support.microsoft.com/kb/148942/ )

네트워크 모니터를 사용하여 네트워크 트래픽을 캡처하는 방법

Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹
(http://support.microsoft.com/newsgroups/default.aspx)
에 참여하시기 바랍니다.