Ian*_*oyd 4 networking wireshark
WireShark 擅长向我展示通过接口发送或接收的每个数据包。
但我真的想找到一种方法来监控机器上的流量。换句话说,而不是看到:
00-03-FF-54-D8-DF => 00-03-FF-54-D8-DE TCP 10.0.0.11:32532 => 10.0.0.12:80
00-03-FF-54-D8-DE => 00-03-FF-54-D8-DF TCP 10.0.0.12:80 => 10.0.0.11:32532
00-03-FF-54-D8-DF => 00-03-FF-54-D8-DE TCP 10.0.0.11:32532 => 10.0.0.12:80
00-03-FF-54-D8-DE => 00-03-FF-54-D8-DF TCP 10.0.0.12:80 => 10.0.0.11:32532
00-03-FF-54-D8-DF => 00-03-FF-54-D8-DE TCP 10.0.0.11:32532 => 10.0.0.12:80
00-03-FF-54-D8-DE => 00-03-FF-54-D8-DF TCP 10.0.0.12:80 => 10.0.0.11:32532
00-03-FF-54-D8-DF => 00-03-FF-54-D8-DE TCP 10.0.0.11:32532 => 10.0.0.12:80
00-03-FF-54-D8-DE => 00-03-FF-54-D8-DF TCP 10.0.0.12:80 => 10.0.0.11:32532
00-03-FF-54-D8-DF => 00-03-FF-54-D8-DE TCP 10.0.0.11:32532 => 10.0.0.12:80
00-03-FF-54-D8-DE => 00-03-FF-54-D8-DF TCP 10.0.0.12:80 => 10.0.0.11:32532
我想看:
00-03-FF-54-D8-DF => 00-03-FF-54-D8-DE TCP 10.0.0.11:32532 => 10.0.0.12:80 5
00-03-FF-54-D8-DE => 00-03-FF-54-D8-DF TCP 10.0.0.12:80 => 10.0.0.11:32532 5
如果可能的话,还有更高级的逻辑:
Listen MAC Listen Addr Source MAC Source Addr Proto In Out
================= ============ ================= =============== ===== == ==
00-03-FF-54-D8-DE 10.0.0.12:80 <= 00-03-FF-54-D8-DF 10.0.0.11:32532 TCP 5 5
00-03-FF-54-D8-DE 10.0.0.12:80 <= 00-03-FF-54-D8-D3 10.0.0.42:53213 TCP 5 5
换句话说,聚合和分组。
如何使用 WireShark 监控流量,而不是捕获数据包?
Wireshark 是一个了不起的程序,但还有其他免费软件和开源替代品可能更容易使用。我目前最喜欢的是Microsoft Network Monitor和SmartSniff。
在摘要模式下使用 SmartSniff 应该会提供您想要的信息。选项 > 高级选项 > 摘要模式:启用;选项 > 高级选项 > 检索进程信息:启用;选项 > 解析 IP 地址:启用。
| 归档时间: |
|
| 查看次数: |
8307 次 |
| 最近记录: |