NPCap

官网 https://nmap.org/npcap/

这是抓包必须先安装的工具,具体的原因可以看 https://github.com/buger/goreplay/wiki/Running-on-Windows

due to the nature of different networking layer of Windows stack. See https://github.com/buger/goreplay/issues/440 for specific details.

By default, windows do not have loopback network driver, like Unix systems, and it has to be installed separately if you want to capture local traffic.

One of the options is installing https://nmap.org/npcap/ or https://technet.microsoft.com/en-us/library/cc708322.aspx.

网络包抓取库在 Windows 下的版本。Npcap 采用 Microsoft Light-Weight Filter (NDIS 6 LWF) 技术和 Windows Filtering Platform (NDIS 6 WFP) 技术对当前最流行的 WinPcap 工具包进行改进。

  • 兼容性:Npcap兼容Windows 7,Windows 10,因为使用了最新的NDIS 6 Light-Weight Filter (LWF) API. 这比NDIS 5 API快并且后者随时可能被微软在新版本中废除. 另外此驱动由我们的EV证书和微软共同签名,兼容Windows 10 1607最严格的驱动签名要求.
  • 安全性:Npcap可以设置为只允许管理员抓包.
  • Loopback抓包:Npcap通过使用Windows Filtering Platform (WFP),可以探测loopback包(在本机lo网口上传输的应用数据) . 安装后Npcap将创建一个Npcap Loopback Adapter适配器. 如果您使用Wireshark,使用这个适配器抓包可以看见所有的loopback流量. 可以通过 “ping 127.0.0.1” (IPv4) or “ping ::1” (IPv6)进行测试.
  • Loopback包注入: Npcap is also able to send loopback packets using the Winsock Kernel (WSK) technique. User-level software such as Nping can just send the packets out using Npcap Loopback Adapter just like any other adapter. Npcap then does the magic of removing the packet's Ethernet header and injecting the payload into the Windows TCP/IP stack.
  • Libpcap API: Npcap uses the excellent Libpcap library, enabling Windows applications to use a portable packet capturing API that is also supported on Linux and Mac OS X. While WinPcap was based on LibPcap 1.0.0 from 2009, Npcap includes the latest Libpcap release along with improvements that we also contribute back upstream to Libpcap.
  • 兼容WinPcap: 对于未使用Npcap新特性的应,Npcap可以安装成“WinPcap兼容模式”,这将替换当前存在的WinPcap安装. 如果未选择此模式,Npcap将与WinPcap并存; applications which only know about WinPcap will continue using that, while other applications can choose to use the newer and faster Npcap driver instead.

NetCap

官网 https://docs.netcap.io/, https://github.com/dreadl0ck/netcap

功能

  • net.capture (capture audit records live or from dumpfiles)
  • net.dump (dump with audit records in various formats)
  • net.label (tool for creating labeled CSV datasets from netcap data)
  • net.collect (collection server for distributed collection)
  • net.agent (sensor agent for distributed collection)
  • net.proxy (http reverse proxy for capturing traffic from web services)
  • net.util (utility tool for validating audit records and converting timestamps)
  • net.export (exporter for prometheus metrics)

使用

# 列出网卡

getmac /fo csv /v

"Connection Name","Network Adapter","Physical Address","Transport Name"

"Wi-Fi","Intel(R) Dual Band Wireless-AC 7265","01-5E-01-CD-09-EC","\Device\Tcpip_{D11E5516-717A-4369-6C95-15F6211513E6}"

"Ethernet","Intel(R) Ethernet Connection (3) I218-LM","34-1E-75-83-8F-63","Media disconnected"

...

# 查看帮助

net.capture.exe --help

# 监听,注意把Tcpip_改成NPF_

net.capture.exe -iface \Device\NPF_{D11E5516-717A-4369-6C95-15F6211513E6}

各个统计结果会分别打成tar包,解开后可以看到其中的记录,IPV4和TCP,UDP都有访问的IP记录

Windows的HTTP/HTTPS访问抓包

http://www.51testing.com/html/42/15142342-4462193.html

里面介绍的 Proxifier,是值得研究的对象

windows网络流量监控的更多相关文章

  1. linux系统CPU,内存,磁盘,网络流量监控脚本

    前序 1,#cat /proc/stat/ 信息包含了所有CPU活动的信息,该文件中的所有值都是从系统启动开始累积到当前时刻 2,#vmstat –s 或者#vmstat 虚拟内存统计 3, #cat ...

  2. Linux网络流量监控与分析工具Ntopng

    Ntopng工具 Ntopng是一个功能强大的流量监控.端口监控.服务监控管理系统 能够实现高效地监控多台服务器网络 Ntopng功能介绍 Ntop提供了命令行界面和web界面两种工作方式,通过web ...

  3. 搭建一个简单的基于web的网络流量监控可视化系统

    本文转载于我的个人博客,转载请标明出处. 初衷 在腾讯云的学生认证申请提交上去n天之后,终于得到了审批,所以迫不及待的想玩玩腾讯云,作为一个搞网络的,自然有一些关于网络应用的小玩意,所以把以前部署过的 ...

  4. CentOS 6.4 搭建 ntop 网络流量监控分析平台

    [前言] Ntop是一种监控网络流量工具,用ntop显示网络的使用情况比其他一些网络管理软件更加直观.详细.Ntop甚至可以列出每个节点计算机的网络带宽利用率. 功能: 自动从网络中识别有用的信息: ...

  5. linux 网络数据收发网络流量监控

    网卡流量 1.iftop命令 iftop可以用来监控网卡的实时流量(可以指定网段).反向解析IP.显示端口信息.TCP/IP连接等官网:http://www.ex-parrot.com/~pdw/if ...

  6. Zabbix配置网络流量监控报警

    一.SNMP简单概述 1.什么是Snmp SNMP是英文"Simple Network Management Protocol"的缩写,中文意思是"简单网络管理协议&qu ...

  7. 采用Jpcap+redis+线程 设备网络流量监控 应用实战实例

    .personSunflowerP { background: rgba(51, 153, 0, 0.66); border-bottom: 1px solid rgba(0, 102, 0, 1); ...

  8. 网络流量监控shell脚本

    网络收发包计数记录在 /proc/net/dev 文件中, 要取得流量, 只需要读取里面的内容两次, 然后相减, 再除以时间间隔即可. #!/bin/bash #Usage1,record in fi ...

  9. 网络流量监控分析工具 Ntopng 安装

    官方说明:http://packages.ntop.org/      http://packages.ntop.org/centos-stable/   http://packages.ntop.o ...

  10. 使用iftop网络流量监控

    iftop这是一个非常有用的工具.下面的命令监视无线网卡在我的笔记本 iftop -i wlan0 比如,我现在玩音乐视频.iftop显示的信息: 基本说明: 1. 屏幕主要部分都是表示两个机器之间的 ...

随机推荐

  1. [转帖]Linux下清理内存和Cache方法见下文:

    https://www.cnblogs.com/the-tops/p/8798630.html 暂时目前的环境处理方法比较简单: 在root用户下添加计划任务: */10 * * * * sync;e ...

  2. [转帖]使用 Dumpling 和 TiDB Lightning 备份与恢复

    本文档介绍如何使用 Dumpling 和 TiDB Lightning 进行全量备份与恢复. 在备份与恢复场景中,如果需要全量备份少量数据(例如小于 50 GB),且不要求备份速度,你可以使用 Dum ...

  3. [转帖]构建 TiFlash 副本

    https://docs.pingcap.com/zh/tidb/stable/create-tiflash-replicas#%E6%8C%89%E8%A1%A8%E6%9E%84%E5%BB%BA ...

  4. [转帖]通过 TiUP 部署 TiDB 集群的拓扑文件配置

    https://docs.pingcap.com/zh/tidb/stable/tiup-cluster-topology-reference 通过 TiUP 部署或扩容 TiDB 集群时,需要提供一 ...

  5. [转帖]sendfile“零拷贝”、mmap内存映射、DMA

    https://www.jianshu.com/p/7863667d5fa7 KAFKA推送消息用到了sendfile,落盘技术用到了mmap,DMA贯穿其中. 先说说零拷贝 零拷贝并不是不需要拷贝, ...

  6. 【转帖】一道面试题:JVM老年代空间担保机制

    面试问题 昨天面试的时候,面试官问的问题: 什么是老年代空间担保机制?担保的过程是什么? 老年代空间担保机制是谁给谁担保? 为什么要有老年代空间担保机制?或者说空间担保机制的目的是什么? 如果没有老年 ...

  7. 通过写脚本的方式自动获取JVM内的进程堆栈信息等内容

    公司转java之后 经常会遇到java进程占用CPU特别多的情况. 每次连上机器进行处理都比较慢了. 索性自己写一个脚本, 把想要查询的信息直接汇总进去. 这样的话 就简单很多了. 脚本也很简单主要如 ...

  8. Windows命令行查看相关信息

    Windows命令行查看相关信息 查看网络相关 查看网络相关 netstat -ano |findstr -v 127 |findstr -v 10.110 |findstr -v 10.6 |fin ...

  9. DashBoard in k8s 简单使用

    DashBoard in k8s 简单使用 第一部分 拉取分发镜像 没办法的事情,公司网络实在是太垃圾了, dockerhub 又不让多次docker pull 找一台网络表好的机器 执行如下命令: ...

  10. WebAssembly入门笔记[1]:与JavaScript的交互

    前一阵子利用Balazor开发了一个NuGet站点,对WebAssembly进行了初步的了解,觉得挺有意思.在接下来的一系列文章中,我们将通过实例演示的方式介绍WebAssembly的一些基本概念和编 ...