准备工作
NetMon 3.4下载链接:
https://www.microsoft.com/en-us/download/details.aspx?id=4865
命令行方式抓包:
安装NetMon,打开CMD, CD到C:Program FilesMicrosoft Network Monitor 3
基本命令:
1.显示网卡信息:
NMCap.exe /DisplayNetwork
2.循环记录一个文件:
抓取所有网卡信息,文件最大100M。
NMCap.exe /Network * /Capture /File C:\Netmon.cap:100MB
3.抓特定网卡:
NMCap.exe /Network 5 /Capture /File C:\NetMon.cap:100MB
NMCap.exe /Network “Local Area Connection” /Capture /File C:\NetMon.cap:100MB4.持续抓包多个文件:
NMCap.exe /Network * /Capture /File C:\Netmon.chn:100MB
常用参数
网络包过滤/capture
IP地址
/capture ipv4.sourceaddress==1.1.1.1
/capture ipv4.destinationaddress==2.2.2.2协议
/capture tcp (!ARP AND !ICMP) ----不包含arp和icmp端口
/capture tcp.port=1111属性
/capture property.TCPRetransmit==1 ----TCP重传组合
/capture tcp and ipv4.sourceaddress==1.1.1.1
/capture tcp or ipv4.sourceaddress==1.1.1.1
/capture tcp.flags.syn == TRUE AND ipv4.Address == 1.1.1.1
起止时间 /startwhen & /stopwhen
系统具体时间
/startwhen /time 2:00:00 PM 2/24/2017以执行命令时间参照
/startwhen /timeafter 10 ----秒
/startwhen /timeafter 10Min ----分
/startwhen /timeafter 10 min ----分
/stopwhen /keypress x ----按x键停止
/stopwhen /timeafter 30Min /TerminateWhen /KeyPress x ----30分钟后停止,期间随时按x停止
/startwhen /frame tcp.flags.syn == TRUE AND ipv4.Address == 1.1.1.1 /capture /file d:test.cap /stopwhen /frame (tcp.flags.fin == TRUE OR tcp.flags.reset == TRUE) AND ipv4.Address == 1.1.1.1
----对应TCP连接结束时候停止抓包文件输出 /file, 默认20M,最大500M,最小基于包的大小
单一文件
/file d:/test.cap:50M ----文件最大50M,超过会循环写多文件
/file d:/test.chn:50M ----每个文件50M,记录方式test.cap,test(1).cap,test(2).cap....系统名命名文件
/file d:/%computername%.cap:100M ----文件最大100M,超过会循环记录,以所在计算机名字命名考虑磁盘空间
剩余百分比
/MinDiskQuotapercentage 20 ----至少保留20%磁盘空间,达到时候抓包会停止剩余磁盘空间
/MinDiskQuota 200M ----至少保留200M磁盘空间,达到时候抓包会停止同时跟踪进程 /CaptureProcess
/capture tcp /file d:\test.cap /captureprocess ----同时记录产生网络流量的进程注:
1、抓包过程CMD的界面不能关闭,不然抓包会停止。
