WireShark 擅长向我显示通过接口发送或接收的每个数据包。
但我确实想找到一种方法来监控机器上的流量。换句话说,而不是看到:
00-03-FF-54-D8-DF => 00-03-FF-54-D8-DE TCP 10.0.0.11:32532 => 10.0.0.12:80
00-03-FF-54-D8-DE => 00-03-FF-54-D8-DF TCP 10.0.0.12:80 => 10.0.0.11:32532
00-03-FF-54-D8-DF => 00-03-FF-54-D8-DE TCP 10.0.0.11:32532 => 10.0.0.12:80
00-03-FF-54-D8-DE => 00-03-FF-54-D8-DF TCP 10.0.0.12:80 => 10.0.0.11:32532
00-03-FF-54-D8-DF => 00-03-FF-54-D8-DE TCP 10.0.0.11:32532 => 10.0.0.12:80
00-03-FF-54-D8-DE => 00-03-FF-54-D8-DF TCP 10.0.0.12:80 => 10.0.0.11:32532
00-03-FF-54-D8-DF => 00-03-FF-54-D8-DE TCP 10.0.0.11:32532 => 10.0.0.12:80
00-03-FF-54-D8-DE => 00-03-FF-54-D8-DF TCP 10.0.0.12:80 => 10.0.0.11:32532
00-03-FF-54-D8-DF => 00-03-FF-54-D8-DE TCP 10.0.0.11:32532 => 10.0.0.12:80
00-03-FF-54-D8-DE => 00-03-FF-54-D8-DF TCP 10.0.0.12:80 => 10.0.0.11:32532
我想看到:
00-03-FF-54-D8-DF => 00-03-FF-54-D8-DE TCP 10.0.0.11:32532 => 10.0.0.12:80 5
00-03-FF-54-D8-DE => 00-03-FF-54-D8-DF TCP 10.0.0.12:80 => 10.0.0.11:32532 5
如果可能的话,甚至更高级的逻辑:
Listen MAC Listen Addr Source MAC Source Addr Proto In Out
================= ============ ================= =============== ===== == ==
00-03-FF-54-D8-DE 10.0.0.12:80 <= 00-03-FF-54-D8-DF 10.0.0.11:32532 TCP 5 5
00-03-FF-54-D8-DE 10.0.0.12:80 <= 00-03-FF-54-D8-D3 10.0.0.42:53213 TCP 5 5
换句话说,聚合和分组。
如何使用 WireShark 监控流量,而不是捕获数据包?
答案1
Wireshark 是一款很棒的程序,但还有其他免费软件和开源替代品可能更容易使用。我目前最喜欢的是Microsoft 网络监视器和智能嗅探。
在摘要模式下使用 SmartSniff 应该会提供您想要的信息。选项 > 高级选项 > 摘要模式:启用;选项 > 高级选项 > 检索进程信息:启用;选项 > 解析 IP 地址:启用。
答案2
关于
Statistics -> Conversations
窗户?
您可以进行地址名称解析和事件过滤对话。
答案3
Wireshark 以其强大的流量捕获和协议分析功能而闻名。但是,如果您需要图形化地查看流量或监控网络性能,则需要购买功能强大的分析工具 Pilot。
但是正如上面的回答所说,有一些免费软件可以代替Wireshark。我最近在PC World上发现了一个非常好的软件:卡普萨。
非常好,值得尝试。