网络应用程序不可避免地发送通过网络接口的数据，称为数据包。尽管是第三方WireShark等工具可能提供不同的体验，即微软网络监视器有一个易于使用的界面和工作非常好。微软最初提供网络监视器，后来由微软消息分析器应用程序。不幸的是，微软已经停止了并删除了其下载链接。因此，只有旧版的Microsoft网络监视器可用。在本文中，我们将请参阅如何使用最新可用版本的Microsoft网络监视器。使用Microsoft网络监视器捕获数据包首先，安装Microsoft网络监视器，可以在这里下载。安装完成后，启动Microsoft Network Monitor并单击New Capture。查看起始页要开始监视，请单击开始按钮。这将立即开始捕获，您将看到"对话"开始出现在左侧。微软网络监视器将尝试将一系列相关的数据包传输分组到一个"对话"中，以便于查看。在开始捕获前查看新的捕获屏幕如果发现收到错误消息说没有绑定适配器，则应以管理员身份运行Microsoft Network Monitor。另外，如果您刚刚安装了这个，您可能需要重新启动。作为"对话"视图的一个示例，下面的进程都分组在一起，以显示每个进程产生的网络流量。查看网络对话扩展任何一个加号都会显示出来网络监视器可能有一组特定的"对话"在一个进程下捕获并分组。过滤数据包流量由于通常跨越线路的网络流量非常庞大，因此通常需要过滤掉数据以显示所需的流量。使用过滤器的一个例子是标准过滤器的DNS部分下的DnsAllNameQuery。选择此筛选器并单击"应用"后，将只显示DNS查询。查看DnsAllNameQuery筛选器建筑过滤器创建过滤器或修改内置过滤器是灵活和容易的。在"显示过滤器"字段中，有几种方法可以构造过滤器。通过输入协议名并在其后加上。（句点），您将看到要比较的可能字段值的自动完成。使用标准的比较运算符==，我们可以看到某些值是否相等。我们甚至可以使用and和or等逻辑运算符创建多个表达式。下面是一个示例。DNS.QuestionCount以及DNS.ARecord.TimeToLive==14还有一些方法是可用的，比如contains（）和UINT8（）。使用下面的contains方法筛选出包含文本的DNS记录"谷歌"和一个14岁的计时器。DNS.QuestionCount以及DNS.ARecord.TimeToLive==14和DNS.QRecord.QuestionName。包含（"谷歌")实用滤波器示例一些实际例子，除了什么默认的内置设置有助于您理解如何得到你需要的有用数据。按端口号筛选通常最容易通过特定端口（如8080或8443）进行过滤，如下所示。//按TCP端口号筛选tcp.端口==80或Payloadheader.LowerProtocol.port==80tcp.端口==443或Payloadheader.LowerProtocol.port==443传输控制协议被分割的帧被重新组合并插入到一个新的帧中在包含名为Payloadheader的特殊头的跟踪中。通过寻找两者，我们可以确保我们正在收集整个数据流。查找SSL协商帧尽管不能解密SSL通信量，但找出进行了哪些SSL连接尝试是很重要的。如下所示，此筛选器将显示这些尝试。//按SSL握手筛选TLS.TlsRecLayer.TLS记录层.SSLHandshake.HandShake.HandShakeType==0x1查找TCP重传和SYN重传要解决文件上载和下载问题，可以查看是否发生了许多可能影响性能的重新传输。属性.TCPRetransmit==1 | |属性.TCPSynRetransmit==1制造你肯定打开了对话。这个过滤器取决于这个功能。Microsoft Network Monitor在故障排除方面大有作为尽管微软选择了停止或弃用他们内部创建的工具，那些工具仍然茁壮成长。还有很多其他的，比如WireShark，但是微软网络Monitor仍然使解析和理解包变得非常容易捕获的信息。用一个简单的接口封装高级功能，使用Microsoft网络监视器是一个强大的工具故障排除。VN:F[1.9.22_1171]评级：3.0/5（2票投票）如何在Windows中捕获和检查网络数据包，5分之3.0，基于2个评级