Capture o tráfego de rede com o Microsoft Network Monitor
O Microsoft Network Monitor é uma ferramenta obsoleta de captura de tráfego de rede e análise de pacotes. Ele permite capturar, visualizar e analisar dados de rede e decifrar protocolos de rede. Ele pode solucionar problemas de rede e aplicativos na rede.
Selecione a ethernet que você deseja capturar, marcando-a. Se você tiver várias ethernets, não selecione todas elas. Escolha apenas as ethernets das quais você capturará o tráfego de rede.
Primeiros passos Captura de tráfego de rede
Para capturar o tráfego de rede, clique no botão “New Capture” (Nova captura) e, em seguida, clique no botão “Start” (Iniciar).
Você verá o tráfego pela rede ethernet que capturou na seção “Frame Summary“.
Para se concentrar mais na análise da rede, você pode adicionar filtros. Você pode filtrar o tráfego de rede com base nos aplicativos em execução, no destino, no número da porta e assim por diante. Para saber como escrever e ver exemplos, consulte o final deste artigo.
Filtre em um endereço em qualquer direção, source, ou destination.
IPv4.Address==192.168.1.1
IPv4.SourceAddress
Representa o endereço de origem e é útil para filtrar o tráfego de uma origem específica.
IPv4.SourceAddress==192.168.1.1
IPv4.DestinationAddress
Representa o endereço de destino e é útil para filtrar o tráfego para um destino específico.
IPv4.DestinationAddress==192.168.2.2
IPv4.PayloadLength
O comprimento total da carga útil do IP.
IPv4.PayloadLength == 0
Destination
Contém o endereço de origem do protocolo mais alto. Portanto, se o IPv4 for o último protocolo com um endereço, a propriedade. Destination conterá a representação em cadeia desse endereço. Essa é a mesma propriedade usada para preencher a coluna Source na interface do usuário.
Destination==”192.168.2.2″
Source
Semelhante ao Destination
Source.Contains(“192.”)
IPPayloadLength
Representa o tamanho da carga útil do IP em bytes
IPPayloadLength > 1000
Filtragem de conversas do Network Monitor
Campo/Propriedade
Descrição
Exemplo
ProcessName
O processo associado ao quadro atual. Isso é coletado quando o Network Monitor 3.4 é usado para capturar um rastreamento. Se estiver usando o NMCAP, você precisará adicionar a opção /CaptureProcesses.
ProcessName.Contains(“iexpl”)
ProcessID
A ID do processo associada ao quadro atual. Isso é coletado quando o Network Monitor 3.4 é usado para capturar um rastreamento. Se estiver usando o NMCAP, você precisará adicionar a opção /CaptureProcesses.
ProcessID == 1234
Network Monitor Filtragem sem fio
Campo/ Propriedade
Descrição
Exemplo
Wifi.Address
Filtrar em um endereço em qualquer direção, origem ou destino.
Ethernet.Address==0x123456AABBCC
wifi.Management.SA
Representa o endereço de origem e é útil para filtrar o tráfego de uma origem específica.
wifi.Management.sA==0x123456AABBCC
wifi.Management.DA
Representa o endereço de destino e é útil para filtrar o tráfego para um destino específico.
wifi.Management.DA==0x123456AABBCC
WiFi.MetaData.PhyType
O valor do tipo de camada física. Cada valor representa uma camada diferente. Eles são descritos na tabela WiFiPhyType em wireless.npl. 4=a, 5=b, 6=g e 7=n.
WiFi.MetaData.PhyType == 0x6
property.WiFiDestination
Contém o endereço de origem dos protocolos mais importantes. Portanto, se o Wi-Fi for o último protocolo com um endereço, a propriedade. Destination conterá a representação da cadeia de caracteres desse endereço. Essa é a mesma propriedade usada para preencher a coluna Source na interface do usuário.
WiFiDestination == 0xFFFFFFFFFFFF
property.WifiChannel
Canal sem fio
property.WifiChannel==14
property.WiFiSource
Semelhante ao Destination
WiFiSource == 0xFFFFFFFFFFFF
Destination
Contém o endereço de origem dos protocolos mais importantes. Portanto, se o Wi-Fi for o último protocolo com um endereço, a propriedade. Destination conterá a representação da cadeia de caracteres desse endereço. Essa é a mesma propriedade usada para preencher a coluna Source na interface do usuário.
