一、网络监视器概述
　　使用网络监视器捕获和显示运行 2000 Server 的计算机从局域网 (LAN) 上接收的帧（也称作数据包）。网络管理员可以使用网络监视器检测和解决在本地计算机上可能遇到的网络问题。例如，作为一名网络管理员，当计算机不能与其他计算机通讯时可以使用网络监视器诊断硬件和软件问题。网络监视器捕获的帧可以保存为文件，然后发给专业的网络分析人员或支持机构。另外，网络应用程序开发人员可以在开发时使用网络监视器监视和调试网络应用程序。
　　Microsoft 系统管理包含网络监视器的完整版本。作为对 2000 网络监视器的功能的补充，系统管理服务器网络监视器能够捕获发到和发自网段上所有计算机的帧，也能够编辑和传输这些帧。下面就介绍一下有关的术语：
　　1、网络数据流
　　网络监视器监视网络数据流，该数据流由任意给定时间内通过网络传输的所有信息组成。信息在传输之前，由网络软件分割成较小的块，这些小块称作帧或者数据包。
　　2、帧，无论是通过广播、多播还是直接传输的，都由几个不同的块组成，这样就能够单独进行分析。
　　一些块包含网络监视器可用于解答网络问题的数据。例如，通过检查目标地址，能够确定帧是指明所有主机必须接收并处理的广播帧，还是发送到指定主机的直接传输帧。通过对帧的分析，可以确定帧的确切起因，这有助于确定产生这种帧类型的服务是否能够进行优化。下图阐明了以太网帧的组成部分：
　　　
　　3、捕获网络数据
　　网络监视器复制帧的过程称为捕获。您可以捕获发到本地网卡或从本地网卡发出的所有网络通信，也可以设置一个捕获筛选器来捕获帧的子集。还可以指定一系列条件来触发网络监视器捕获筛选器的事件。通过使用触发器，网络监视器可以响应网络上的事件。例如，您可以使 Windows 在网络监视器检测到网络上的一系列特定情况时启动可执行文件。在捕获了数据之后，您可以查看它。网络监视器通过将原始捕获数据转化为它的逻辑帧结构从而为您做了许多数据分析工作。网络监视器使用网络驱动程序接口规范 (NDIS) 功能将它检测到的所有帧复制到捕获缓存中。
　　注意：
　　因为 Windows 2000 中的网络监视器版本使用 NDIS 的"仅本地"模式替代了混合模式，所以即使您的网卡不支持混合模式，您照样可以使用网络监视器。当您使用 NDIS 驱动程序捕获帧时，网络性能不受影响。（网卡置于混合模式能够使 CPU 的负载增加百分之三十或者更多。）
　　二、了解网络监视器
　　下面我们一起来了解一下网络监视器：
　　1、网络监视器组件
　　网络监视是由称为网络监视器的系统管理工具和称为网络监视器驱动程序的网络组成的。为了捕获、显示和分析网络数据包（也称为帧），您必须安装所有这些组件。
　　2、网络监视器
　　使用网络监视器捕获和显示运行 Windows 2000 Server 的计算机从局域网接收的数据帧。网络管理员可以使用网络监视器检测和解决本地计算机可能遇到的网络问题。网络监视器只能安装在运行 Windows 2000 Server 的计算机上。当您安装网络监视器时，网络监视器驱动程序会自动安装在同一台计算机上。
　　3、网络监视器驱动程序
　　网络监视器驱动程序允许网络监视器从网卡接收帧，并且允许使用 Microsoft 系统管理服务器提供的网络监视器版本的用户捕获和显示来自远程计算机的帧，其中包括通过拨号网络连接获得的帧。当运行系统管理服务器网络监视器的计算机用户与已经安装网络监视器驱动程序的计算机进行远程连接时（并且该用户已启动捕获进程），那么捕获的统计信息将通过网络传送到负责管理的计算机。网络监视器驱动程序只能安装在运行 Microsoft Windows 2000 Professional 或者 Windows 2000 Server 的计算机上。
　　注意：
　　Windows 2000 以外的操作系统的网络监视器驱动程序由系统管理服务器提供。作为对 Windows 2000 网络监视器功能的补充，系统管理服务器的网络监视器可以捕获网段中发送到或从所有计算机发出的帧，也可以编辑和传输这些帧。
　　
　　4、网络监视器的性
　　为起见，Windows 2000 中的网络监视器版本仅捕获广播和多播帧、发送到或来自本地计算机的帧。网络监视器也为广播帧、多播帧、网络使用情况、每秒接收的总字节数和每秒接收的总帧数显示所有网络段统计信息。另外，为了保护您的网络以防有人未授权安装网络监视器，网络监视器提供了检测在网络中本地网段运行的其他网络监视器安装情况的功能。
　　5、检测其他网络监视器的安装情况
　　为了防止有人未经授权监视您的网络，网络监视器能够检测到运行在网络中本地网段的其他网络监视器的安装情况。为在网络上捕获数据，网络监视器还会检测远程使用的网络监视器驱动程序的所有实例（或者通过来自系统管理服务器的网络监视器，或者通过系统监视器）。当网络监视器检测到网络上还安装了其他网络监视器时，它会显示关于这些监视器的下列信息：
　　计算机的名称
　　登录到这台计算机的用户的名称
　　在远程计算机上的网络监视器的状态（运行、捕获或者传输）
　　远程计算机的适配器地址
　　远程计算机上的网络监视器的版本号
　　在某些情况下，您的网络结构可能会阻止安装的某个网络监视器检测其他的网络监视器。例如，如果通过不转发多播的器安装的网络监视器与您安装的监视器完全独立，那么您安装的监视器就不能检测到通过路由器安装的监视器。
　　使用捕获筛选器
　　捕获筛选功能就象数据库查询一样，使用它指定希望监视的网络信息的类型。例如，如果只想观察计算机或的指定子网，可以创建地址数据库，使用该数据库将地址添加到您的筛选器中，然后将筛选器保存为一个文件。通过对帧的筛选，既节省了缓存资源，又节省了时间。如果必要的话，您可以稍后再次加载捕获筛选器文件和使用筛选器。
　　三、使用网络监视器
　　了解了网络监视器的基本情况后，我们借可以使用它来为我们工作了：
　　1、设计捕获筛选器
　　要设计捕获筛选器，请在"捕获筛选器"对话框中指定决策声明。这个对话框显示了筛选器的决策树，决策树是筛选器逻辑的图形表示。当您从捕获规范中包括或排除信息时，决策树反映了这些规范。
　　2、通过筛选
　　要捕获使用特定协议发送的帧，请在捕获筛选器的 SAP/ETYPE= 行上指定协议。例如，如果希望仅捕获 IP 帧，请禁用所有协议，然后启用 IP ETYPE 0x800 和 IP SAP 0x6。默认情况下，启用网络监视器所支持的所有协议。
　　3、通过地址筛选
　　要捕获来自网络上特定计算机的帧，请在捕获筛选器中指定一个或多个地址对。您可以同时监视最多四个特定的地址对。
　　
　　地址对由以下部分组成：
　　
　　希望监视其通信的两台计算机的地址。
　　
　　指定希望监视的通信方向的箭头。
　　
　　"INCLUDE"或者"EXCLUDE"关键字，指示了网络监视器如何响应符合筛选器规范的帧。
　　不管在"捕获筛选器"对话框中状态显示的顺序如何，都应首先评估"排除"状态。因此，如果帧符合包含"EXCLUDE"和"INCLUDE"两条语句的筛选器中"EXCLUDE"语句所指定的条件，那么此帧将被丢弃。网络监视器不根据"INCLUDE"语句测试此帧是否也符合标准。
　　例如，要捕获来自 Joe 计算机上的所有通信（从 Joe 到 Anne 的通信除外），请使用下列捕获筛选器地址部分：
　　
　　Addresses
　　include Joe <----> Any
　　exclude Joe <----> Anne
　　
　　如果没有 Include 行，则默认使用 your_computer <----> Any。
　　4、通过数据模式筛选
　　通过在捕获筛选器中指定模式匹配，您可以：
　　限制捕获那些只包含 ASCII 或十六进制数据的特定模式的帧。
　　指定一帧里多少字节数（偏移量）过后必须采用此模式。
　　当基于模式匹配进行筛选时，您必须指定模式出现在帧中的位置（距离开始或结尾的字节数）。如果网络媒体在媒体访问控制协议中具有可变的大小，例如以太网或令牌环网，请指定从拓扑结构头的结尾开始计数。
　　5、使用显示筛选器
　　象捕获筛选器一样，显示筛选器功能就象数据库查询，允许您选出特定类型的信息。但是因为显示筛选器在已经捕获的数据上操作，所以它不影响网络监视器捕获缓存中的内容。
　　使用显示筛选器确定显示的帧。您可以根据如下内容筛选帧：
　　它的源地址和目标地址。
　　发送所使用的协议。
　　它所包含的属性和值。（属性是协议头中的数据字段。协议的属性说明了协议的用途。）
　　6、显示捕获的数据
　　网络监视器通过解释在捕获过程中收集的原始数据以及在"帧查看器"窗口中显示数据来简化数据分析过程。
　　要在"帧查看器"窗口中显示捕获的信息，请在进行捕获时单击"捕获"菜单上的"停止和查看"。或者打开一个捕获文件 (.cap)。
　　注意：
　　要显示用"Network General Sniffer"捕获的数据，请打开未压缩的 Sniffer 文件。要查看压缩的 Sniffer 文件，请在 Sniffer 中打开此文件然后以不压缩格式保存此文件。或者，从 Network General 中获取 Sniffer 文件的解压缩工具。
　　"帧查看器"窗口包括下列窗格：
　　摘要 已捕获帧的一般信息，按捕获的顺序排列。
　　详细信息 帧的内容，包含发送此帧所使用的协议。
　　十六进制 捕获数据的十六进制和 ASCII 表示法。
　　
--------------------next---------------------