抓包工具是拦截查看网络数据包内容的软件。网络通讯抓包的用处多种多样能用于安全分析、网络监测、软件分析、网络资源下载等等在网吧维护的过程中我们也经常通过抓包来进行分析网络状况常用的工具有tcpdumpwiresharksniffsmarthttpwatch、科来抓包等很多人并不知晓微软自己出的这款MMA抓包程序今天就给大家再详细介绍下。





       简单的说一下MMA的发展历程经过Windows server 2003 中的Network Monitor独立出来的“网络抓包工具 - Network Monitor”现在叫“Microsoft Message Analyzer”。它具有强大的跨平台网络分析追踪能力而且抓包与捕获已经被默认的集中到了新版之中从名字上已经能够了解到新版的软件已不仅仅是网络抓包器已经升级了强大的消息分析器。  微软官方介绍点我  程序下载点我



因为此工具没有中文版很多人说看不懂所以我手工做了简单的注释处理或许某些翻译不严谨请见谅。下载和安装过程就不作说明了需要注意操作系统需Win7及以上安装之后MMA需要管理员身份运行


界面及参数介绍

New Session:建立一个新的会话

Shifts Time改变当前会话消息的时间戳

Aliases域别名设置
Start Local Trace从本地机器上快速捕获网络数据包

Open:打开一个或多个跟踪事件或文本日志文件



Favorite Scenarios最喜欢的场景即快速使用场景(Local Network Interfaces本地网络接口Loopback and Unencrypted IPSEC环回和非加密IPSecPre-Encryption for HTTPS预加密的HTTPS)

Discussion:官方讨论区

New Viewer选择一种新的视图来显示当前会话数据


抓包界面

Add Columns添加列就是可以自定义显示哪些属性的列

Color Rules:可以根据数据的类型显示不同的颜色
Find Message相当于ctrl+f例如输入ip来逐条查找和此ip有关的数据包

Go to Message可以根据你抓包的时间判断大概的数据包位置根据序号来快速定位

Layout选择另外一种网格布局来分析默认是HTTP方式显示




下面我们来介绍抓包过程


首先如果直接对网卡抓包可以直接点击主界面的“Start Local Trace”即可直接抓取数据


当我们已经抓取完毕可以点击菜单栏的暂停或者停止按钮然后通过“Find Message”相当于ctrl+f来逐条搜索包含关键字的数据记录


也可以通过右边的筛选输入框使其只显示某个ip或者mac地址的相关数据记录案例中我选择“IPV4.Address==192.168.20.217” 点击Apply应用


最终获取到以下关于本机192.168.20.171和ip192.168.20.217之间的ICMP ping记录


当我们想要直观的看出数据包所包含的记录可以通过“Layout”选择推荐的一些数据结构来进行分析如下图效果可以按照某些ip之间的通信区分显示


这样我就满足了吗?当然不会我们说过MMA除了自带抓包功能它还具有很强的分析功能下面给大家介绍“New Viewer”可以选择一些新的视图来统计分析所抓取数据。


案例中我选择根据数据包的对话消息数量排行来分析网卡流量中链接对话最多的记录并形成图形显示出来。


输出结果视图数据统计非常的直观




每个视图都有它独有的数据结构和显示界面这里就不一一介绍了大家自己发掘上面是直接抓取本地网卡所有通信记录数据是先抓后筛选但是某些环境数据包非常复杂我们需要先设置好参数再来抓取


可以点击Start page的“New Session”接着选择数据的来源Live Trace即相当于现场追踪抓取


接下来我们需要选择Trace Scenario意思是选择抓取的方案我们选择“Local Network Interfaces”表示本地网卡



过滤参数中选择IPV4并修改ip为192.168.20.217那么此时点击Start即进入抓取192.168.20.217相关的所有数据记录



###########

动态效果图点击放大查看