下載地址
http://www.microsoft.com/en-us/download/details.aspx?id=4865
主要用途
- 抓取和解析各種協議的網絡包
- 過濾網絡報文
- 解析ETW Trace (etl格式文件)
使用方法
抓包
通過管理員權限打開,在Select Networks中選擇需要監測的網卡(通常情況下默認選項即可)
選擇New Capture新建抓包
選擇Start按鈕開始抓包
Pause和Stop按鈕分別用來暫停或停止抓包。
過濾器
可以在Display Filter中使用各種形式的過濾語句來過濾抓包,
例如
- Http - 過濾所有的http幀
- Tcp - 過濾所有的tcp幀
- Http.request - 過濾所有的http request幀
- Ipv4.address = 77.67.127.24 - 過濾所有的ipv4為77.67.127.24的幀
- HTTP.Request.ProtocolVersion == "HTTP/1.1" - 過濾所有的http1.1的幀
- contains(HTTP.Response.HeaderFields.Location, " http://cn.bing.com/") - 過濾Response Location header包含http://cn.bing.com/的幀
可以直接右鍵點擊想要過濾的屬性然后選擇Add Selected Value to Display Filter
可以在各個協議級別過濾會話,這種過濾方式可以方便的幫你找到該連接通信的起始和終止點。
Color Rule
為了使抓包更容易分析查看,可以通過不同的過濾語句設置顏色規則。
希望對你有所幫助。