抓包工具是拦截查看网络数据包内容的软件。网络通讯抓包的用处多种多样,能用于安全分析、网络监测、软件分析、网络资源下载等等,在网吧维护的过程中我们也经常通过抓包来进行分析网络状况,常用的工具有tcpdump、wireshark、sniffsmart、httpwatch、科来抓包等,很多人并不知晓微软自己出的这款MMA抓包程序,今天就给大家再详细介绍下。
简单的说一下MMA的发展历程:经过Windows server 2003 中的Network Monitor,独立出来的“网络抓包工具 - Network Monitor”,现在叫“Microsoft Message Analyzer”。它具有强大的跨平台网络分析追踪能力,而且抓包与捕获已经被默认的集中到了新版之中,从名字上已经能够了解到新版的软件已不仅仅是网络抓包器,已经升级了强大的消息分析器。 微软官方介绍:点我 程序下载:点我
因为此工具没有中文版很多人说看不懂,所以我手工做了简单的注释处理,或许某些翻译不严谨请见谅。下载和安装过程就不作说明了,需要注意操作系统需Win7及以上,安装之后MMA需要管理员身份运行;
界面及参数介绍:
New Session:建立一个新的会话;
Shifts Time:改变当前会话消息的时间戳;
Aliases:域别名设置;
Start Local Trace:从本地机器上快速捕获网络数据包;
Open:打开一个或多个跟踪事件或文本日志文件;
Favorite Scenarios:最喜欢的场景,即快速使用场景;(Local Network Interfaces:本地网络接口,Loopback and Unencrypted IPSEC:环回和非加密IPSec,Pre-Encryption for HTTPS:预加密的HTTPS)
Discussion:官方讨论区;
New Viewer:选择一种新的视图来显示当前会话数据;
抓包界面:
Add Columns:添加列;就是可以自定义显示哪些属性的列;
Color Rules:可以根据数据的类型显示不同的颜色;
Find Message:相当于ctrl+f,例如输入ip来逐条查找和此ip有关的数据包;
Go to Message:可以根据你抓包的时间判断大概的数据包位置,根据序号来快速定位;
Layout:选择另外一种网格布局来分析;默认是HTTP方式显示;
下面我们来介绍抓包过程:
首先如果直接对网卡抓包,可以直接点击主界面的“Start Local Trace”,即可直接抓取数据;
当我们已经抓取完毕,可以点击菜单栏的暂停或者停止按钮;然后通过“Find Message”(相当于ctrl+f)来逐条搜索包含关键字的数据记录;
也可以通过右边的筛选输入框,使其只显示某个ip或者mac地址的相关数据记录;案例中我选择“IPV4.Address==192.168.20.217” ,点击Apply应用;
最终获取到以下关于本机192.168.20.171和ip192.168.20.217之间的ICMP ping记录。
当我们想要直观的看出数据包所包含的记录,可以通过“Layout”选择推荐的一些数据结构来进行分析,如下图效果可以按照某些ip之间的通信区分显示:
这样我就满足了吗?当然不会;我们说过MMA除了自带抓包功能,它还具有很强的分析功能,下面给大家介绍“New Viewer”可以选择一些新的视图,来统计分析所抓取数据。
案例中我选择根据数据包的对话消息数量排行,来分析网卡流量中链接对话最多的记录,并形成图形显示出来。
输出结果视图数据统计非常的直观:
每个视图都有它独有的数据结构和显示界面,这里就不一一介绍了大家自己发掘,上面是直接抓取本地网卡所有通信记录,数据是先抓后筛选,但是某些环境数据包非常复杂,我们需要先设置好参数再来抓取:
可以点击Start page的“New Session”,接着选择数据的来源,Live Trace即相当于现场追踪抓取。
接下来我们需要选择Trace Scenario,意思是选择抓取的方案,我们选择“Local Network Interfaces”表示本地网卡。
过滤参数中选择IPV4并修改ip为192.168.20.217;那么此时点击Start即进入抓取192.168.20.217相关的所有数据记录。
###########
动态效果图,点击放大查看:
希望这个教程能够给予大家一定的帮助,原创帖转载请保留http://www.583go.com
At Last依旧是福利一张:
