Network Monitor使用教程

 　　Network Monitor主要用途

　　抓取和解析各種協議的網絡包

　　過濾網絡報文

　　解析ETW Trace (etl格式文件)

　　使用方法

　　抓包

　　通過管理員權限打開，在Select Networks中選擇需要監測的網卡(通常情況下默認選項即可)

　　選擇New Capture新建抓包

　　選擇Start按鈕開始抓包

　　Pause和Stop按鈕分別用來暫停或停止抓包。

　　過濾器

　　可以在Display Filter中使用各種形式的過濾語句來過濾抓包，

　　例如

　　Http - 過濾所有的http幀

　　Tcp - 過濾所有的tcp幀

　　Http.request - 過濾所有的http request幀

　　Ipv4.address = 77.67.127.24 - 過濾所有的ipv4為77.67.127.24的幀

　　HTTP.Request.ProtocolVersion == "HTTP/1.1" - 過濾所有的http1.1的幀

　　contains(HTTP.Response.HeaderFields.Location, " http://cn.bing.com/") - 過濾Response Location header包含http://cn.bing.com/的幀

　　可以直接右鍵點擊想要過濾的屬性然後選擇Add Selected Value to Display Filter

　　可以在各個協議級別過濾會話，這種過濾方式可以方便的幫你找到該連接通信的起始和終止點。

　　Color Rule

　　為了使抓包更容易分析查看，可以通過不同的過濾語句設置顏色規則。