Microsoft Network Monitor(微软网络监视器) v3.4
分享到:
Microsoft Network Monitor是微软发布的一款网络协议数据分析工具,网络协议常见的有TCP/IP、HTTP、FTP协议,到OSPF、IGP等协议,常见局域网三大通信协议有TCP/IP协议、NetBEUI协议和IPX/SPX协议,协议是通行的保障与媒介,协议数据包就是通信的内容,我们只要把数据包拿下然后通过专业的软件对包进行解析,就可以从中提取重要信息你那么今天我们就给各位推荐一筐功能非常强大的协议分析工具——Microsoft Network Monitor,Microsoft Network Monitor是一款免费的网络流量实时监控软件。它能够将计算机上的各种网络接口装置显示在同一个画面之中,并且告诉使用者每一个接口的实时流量,不论是流入或流出,都能够清楚显示。软件本身并不需亦任何设定,使用者只要单纯的执行就能够享受到它的功能,且程序本身是采取每一秒更新一次的方式,同时,它可以扑捉和查看300多个公共和微软专有网络协议,包括无线网络数据包,绝对让使用者随时掌握最实时的网络流量讯息。有需要的朋友不要错过哦!
Microsoft Network Monitor可以根据系统的进程将数据报文进行划分,我们可以清晰的看到不同系统进程发包交互的情况,利用这个功能,我们可以快速的将应用进程跟数据报文关联起来进行分析,便于我们在定位出故障源头主机之后,进一步定位出对外发送大量攻击报文的异常进程(如木马、蠕虫等),从而帮助我们缩小解决问题的范畴,提高解决问题的效率。
2、微软协议的解码
Network Monitor作为微软开发的协议分析工具,其在开发时,其对微软的私有协议的识别和解码无疑是最完善的,如果工作过程中遇到跟微软私有协议有关的问题,我们可以优先使用Network Monitor进行抓包分析。
3、基于Network Monitor的web性能分析工具:VRTA
Network Monitor可以跟微软提供的另外一个非常好用的web性能分析工具配合使用,那就是VRTA。VRTA只支持对Network Monitor的数据报文文件格式进行分析。
1、已经识别出电脑中多个接口了,其中由于我们主要抓取的是无线数据包,所以选取无线网卡。由于这里显示的Friendly Name直接对应的就是网络适配器的名字,所以不一定命名为无线网卡,需要具体查看下Description里面是不是有Wireless的字样。
2、然后新建一个新的抓包
3、如下图,新建抓包之后,我们就可以直接抓取数据帧了
上图红色框子中包含几个选项:“Capture Settings”,“Start”,“Pause”和“Stop”。
PS:Pause是停止当前的抓包,不会清空抓包记录,Stop是停止并清空当前的抓包记录。
4、我们需要重点看一下Capture Settings,点击Capture Settings之后,双击对应的无线网卡(注:是双击,不是下面的Global Options)
5、选择Scanning Options,如下
6、点击后,我们这里就可以设置混杂模式和监听信道的范围了。在NM中,是定义了Monitor Mode和Local Mode两种,其中Monitor Mode就类似于混杂模式了。混杂模式本意是抓取所有能够监听到的数据包,不仅仅包含目的地址为本地的数据包,也包含目的地址不是本地的数据包。在设置Monitor Mode的时候,注意下面直接选择“Apply”,而不是“Close and Return to Local Mode”,这里close的话,那么就是重新回到Local Mode,导致Monitor Mode无法生效。在笔者的使用中,最好这个窗口不要关闭,直接回到之前的窗口点start开始抓包,抓包完毕后,这里点击“Close and Return to Local Mode”关闭,可能笔者电脑存在网卡兼容的问题,所以如果抓包之后,直接跳过“Close and Return to Local Mode”,直接关闭程序的话,那么网卡无法生效,影响本身的上网了(需要重新在设备界面禁用设备,再启用设计进行开启)。
7、如果选择了Monitor Mode后,这里就可以继续选择是按照信道扫描的模式进行抓包(即每一个信道逗留一会,按照时间片顺序,一个个信道开始抓包),还是固定某一个信道号和协议进行具体的抓包,这里是根据实际需求进行抓包。
8、选择好之后,按start开始抓包即可,如果之前没有选择Monitor Mode的话,就是以默认的Local Mode(即不是混杂模式)进行抓包,抓到的实际上就是本地和对应AP具体通信的一些数据包了。
在上图中,左边是NM根据不同的应用解析出来的一些数据包交互,也就是其的分析功能。右边中间就是抓取到的数据包,下面就是具体数据包的原始二进制文件和解析出来的内容了。在Tools->Options->Parser Profiles下,可以选择具体解析器,不过一般情况下,我们对这里都不需要额外的改动。
9、选择好之后,按start开始抓包即可,如果之前没有选择Monitor Mode的话,就是以默认的Local Mode(即不是混杂模式)进行抓包,抓到的实际上就是本地和对应AP具体通信的一些数据包了。
在上图中,左边是NM根据不同的应用解析出来的一些数据包交互,也就是其的分析功能。右边中间就是抓取到的数据包,下面就是具体数据包的原始二进制文件和解析出来的内容了。在Tools->Options->Parser Profiles下,可以选择具体解析器,不过一般情况下,我们对这里都不需要额外的改动。
10、那么NM的数据包解析功能还是能够满足不少基本的需求,而且显示也还是比较清楚的。下图就是一个Beacon帧的解析,MetaData是一些物理层参数(类似于Radiotap),然后是802.11 MAC层的帧头部(包含FrameControl,Duration,DA,SA,BSSID,SequenceControl),然后是具体的Beacon管理帧的帧体(包含同步用的时间戳(TimeStamp),AP所支持的工作能力和一些具体的功能信息块,比如SSID,TIM,RSN等等),具体内容我们会在以后讨论数据帧的时候再进行展开。
11、NM也可以直接将数据包保存为“.cap”的格式,在File->Save As下面选择,这样就可以将抓取的数据包先保存,然后再用Wireshark或者Omnipeek之类常用的软件进行解析即可。
软件功能
1、发包进程关联Microsoft Network Monitor可以根据系统的进程将数据报文进行划分,我们可以清晰的看到不同系统进程发包交互的情况,利用这个功能,我们可以快速的将应用进程跟数据报文关联起来进行分析,便于我们在定位出故障源头主机之后,进一步定位出对外发送大量攻击报文的异常进程(如木马、蠕虫等),从而帮助我们缩小解决问题的范畴,提高解决问题的效率。
2、微软协议的解码
Network Monitor作为微软开发的协议分析工具,其在开发时,其对微软的私有协议的识别和解码无疑是最完善的,如果工作过程中遇到跟微软私有协议有关的问题,我们可以优先使用Network Monitor进行抓包分析。
3、基于Network Monitor的web性能分析工具:VRTA
Network Monitor可以跟微软提供的另外一个非常好用的web性能分析工具配合使用,那就是VRTA。VRTA只支持对Network Monitor的数据报文文件格式进行分析。
使用教程
抓包教程1、已经识别出电脑中多个接口了,其中由于我们主要抓取的是无线数据包,所以选取无线网卡。由于这里显示的Friendly Name直接对应的就是网络适配器的名字,所以不一定命名为无线网卡,需要具体查看下Description里面是不是有Wireless的字样。
2、然后新建一个新的抓包
3、如下图,新建抓包之后,我们就可以直接抓取数据帧了
上图红色框子中包含几个选项:“Capture Settings”,“Start”,“Pause”和“Stop”。
PS:Pause是停止当前的抓包,不会清空抓包记录,Stop是停止并清空当前的抓包记录。
4、我们需要重点看一下Capture Settings,点击Capture Settings之后,双击对应的无线网卡(注:是双击,不是下面的Global Options)
5、选择Scanning Options,如下
6、点击后,我们这里就可以设置混杂模式和监听信道的范围了。在NM中,是定义了Monitor Mode和Local Mode两种,其中Monitor Mode就类似于混杂模式了。混杂模式本意是抓取所有能够监听到的数据包,不仅仅包含目的地址为本地的数据包,也包含目的地址不是本地的数据包。在设置Monitor Mode的时候,注意下面直接选择“Apply”,而不是“Close and Return to Local Mode”,这里close的话,那么就是重新回到Local Mode,导致Monitor Mode无法生效。在笔者的使用中,最好这个窗口不要关闭,直接回到之前的窗口点start开始抓包,抓包完毕后,这里点击“Close and Return to Local Mode”关闭,可能笔者电脑存在网卡兼容的问题,所以如果抓包之后,直接跳过“Close and Return to Local Mode”,直接关闭程序的话,那么网卡无法生效,影响本身的上网了(需要重新在设备界面禁用设备,再启用设计进行开启)。
7、如果选择了Monitor Mode后,这里就可以继续选择是按照信道扫描的模式进行抓包(即每一个信道逗留一会,按照时间片顺序,一个个信道开始抓包),还是固定某一个信道号和协议进行具体的抓包,这里是根据实际需求进行抓包。
8、选择好之后,按start开始抓包即可,如果之前没有选择Monitor Mode的话,就是以默认的Local Mode(即不是混杂模式)进行抓包,抓到的实际上就是本地和对应AP具体通信的一些数据包了。
在上图中,左边是NM根据不同的应用解析出来的一些数据包交互,也就是其的分析功能。右边中间就是抓取到的数据包,下面就是具体数据包的原始二进制文件和解析出来的内容了。在Tools->Options->Parser Profiles下,可以选择具体解析器,不过一般情况下,我们对这里都不需要额外的改动。
9、选择好之后,按start开始抓包即可,如果之前没有选择Monitor Mode的话,就是以默认的Local Mode(即不是混杂模式)进行抓包,抓到的实际上就是本地和对应AP具体通信的一些数据包了。
在上图中,左边是NM根据不同的应用解析出来的一些数据包交互,也就是其的分析功能。右边中间就是抓取到的数据包,下面就是具体数据包的原始二进制文件和解析出来的内容了。在Tools->Options->Parser Profiles下,可以选择具体解析器,不过一般情况下,我们对这里都不需要额外的改动。
10、那么NM的数据包解析功能还是能够满足不少基本的需求,而且显示也还是比较清楚的。下图就是一个Beacon帧的解析,MetaData是一些物理层参数(类似于Radiotap),然后是802.11 MAC层的帧头部(包含FrameControl,Duration,DA,SA,BSSID,SequenceControl),然后是具体的Beacon管理帧的帧体(包含同步用的时间戳(TimeStamp),AP所支持的工作能力和一些具体的功能信息块,比如SSID,TIM,RSN等等),具体内容我们会在以后讨论数据帧的时候再进行展开。
11、NM也可以直接将数据包保存为“.cap”的格式,在File->Save As下面选择,这样就可以将抓取的数据包先保存,然后再用Wireshark或者Omnipeek之类常用的软件进行解析即可。
展开更多
Microsoft Network Monitor(微软网络监视器) v3.4下载地址
- 需先下载高速下载器:
- 专用下载:
- 其它下载:
相关文章
-
《我叫MT4》:一款根据同名动画制作的极其细腻的手游大作!
如果你是一名资深的MMORPG玩家,那么你一定听说过《我叫MT》这...
-
我叫MT4.2版四暗影自杀刷法攻略
我叫MT已经更新了数个版本,而在4.2的版本中,四暗影的自杀刷...
