概述
Microsoft Network Monitor(简称NetMon)是一款由微软开发的免费网络协议数据分析工具,主要用于捕获、查看和分析网络流量。它支持多种网络协议,并提供了丰富的功能,包括实时捕获、过滤、解码和可视化网络数据包,帮助用户诊断网络问题、优化网络性能以及进行网络安全分析。
NetMon的核心功能包括:
- 实时捕获网络流量:用户可以选择需要监控的网络接口,启动捕获功能后,NetMon会实时显示网络活动。
- 协议解码和分析:NetMon支持超过300种通用和专有Microsoft协议的解码,能够帮助用户深入理解网络通信过程。
- 强大的过滤功能:用户可以设置过滤器,仅显示符合特定条件的数据包,从而快速定位问题。
- 可视化表示:NetMon通过直观的界面展示捕获的数据包,支持多种视图模式,如实时流量、每日流量、统计数据和报文记录。
- 导出和保存功能:捕获的数据可以保存为CAP文件,便于后续分析或与第三方工具(如Wireshark)结合使用。
- 自定义处理功能:开发者可以通过API添加自定义处理功能,以满足特定需求。
此外,NetMon还具备一些高级功能,如无线监视模式、混杂模式流量捕获以及VPN流量监控等。这些功能使得NetMon不仅适用于网络管理员和IT专业人士,也适合嵌入式开发工程师和网络安全研究人员使用。
本文将介绍如何使用NetMon实时捕获和分析网络流量。
安装NetMon
使用PowerShell执行
winget install Microsoft.NetMon
或前往官网直接下载exe可执行安装包 Microsoft Network Monitor 3.4
使用NetMon
当安装完成后,使用管理员运行NetMon,并点击 “New Capture”
默认情况下,NetMon收集通过计算机网络接口的所有流量。可以设置过滤器来只捕获一个已知的端口上的输出网络数据包,本次将使用80端口进行记录演示。
点击 Capture Settings 按钮。在这里可以配置过滤来筛选网络应该捕获什么流量。
将配置规则插入筛选器编辑器窗口
tcp.port == 80 OR Payloadheader.LowerProtocol.port == 80点击save按钮以保存过滤器。
到 Tools ->Options -> Parser profiles 配置文件 ,选择 Windows 默认的解析器配置文件(Set as active),然后点击确定。
现在可以开始捕捉网络流量了。点击 Start 按钮。
捕获流量状态
总结
Microsoft Network Monitor是一款功能强大且全面的网络分析工具,适用于各种网络管理和监控需求。无论是进行日常的网络故障排查、性能优化,还是进行复杂的网络安全分析,NetMon都能提供有力的支持。
0