Microsoft Network Monitor捕获界面

支持win8 x32和x64的抓包软件Microsoft Network Monitor

注:wireshark development 版本已经支持win8系统

win 8系统中N多常用软件水土不服,其中包括工作中常用的抓包神器wireshark,wireshark在win8系统驱动加载失败不能获取网卡不能抓包。搜索资料库Microsoft Network Monitor脱颖而出,Microsoft Network Monitor支持TCP/Ip、UDP等底层协议的捕获抓包,并且有包过滤功能方便分析。

Microsoft Network Monitor微软官方下载地址:http://www.microsoft.com/en-us/download/details.aspx?id=4865

其中x86和x64版本分别对应win8的x32和x64,ia64据说用来支持inter的I-tanium(安腾)cpu。

Microsoft Network Monitor使用方法

1.管理员权限启动Microsoft Network Monitor,启动后界面如下,首先点击右上角的New Capture按钮,新建捕获。

Microsoft Network Monitor启动界面

2.新建捕获后出现如下界面,点击工具栏中的start开始捕获,Capture Settings可以选择需要网卡。

Microsoft Network Monitor捕获界面

如上图所示,Microsoft Network Monitor可以设置过滤条件,过滤出需要的包。并且可以根据进程过滤,显示不同进程数据包。

Microsoft Network Monitor过滤语法和常用过滤语句

Microsoft Network Monitor过滤支持OR、AND、!。

HTTP.Request.HeaderFields.Host == ” www.6san.com”    //过滤host是www.6san.com的包

Source == “192.168.1.218”     //过滤源是192.168.1.218的包,也可以写成:IPV4.Source == “192.168.1.218”

Destination == “192.168.1.218”    //过滤目标是192.168.1.218的包

TCP.Port == 389 or UDP.Port == 389    //过滤通过端口389传递的TCP和UDP包

UINT8(FrameData, 7)==0x11 //查找一个字节从frame.property开头在8个字节

NetEvent.Header.ProcessId == 0x42c  //搜索特定的进程ID的所有帧

Contains(Http.Request.URI,”wp”)    //过滤Http.Request的URI中含有“wp”的数据包

Microsoft Network Monitor的部分过滤语句相对wireshark复杂一些,在输入的时候有一些小技巧:

1.在过滤条件文本框上部或者Filter菜单中找到“Load Filter”菜单,其中的“Standard Filter”内提供了部分常用的过滤条件,可以直接选择使用。

2.过滤语句输入句点(.)就可以获得提示,例如TCP和IPV4,输入句点后有下拉列表框提供选择。

3.在捕获到的包信息列表或者包详细信息中找到要过滤的字段,单击右键,在右键菜单中选择“Add ‘……’ to Display Filter”

Leave a Reply

电子邮件地址不会被公开。 必填项已用*标注