网络监视器捕获实用工具说明

文章翻译 文章翻译
文章编号: 310875 - 查看本文应用于的产品
展开全部 | 关闭全部

概要

本文介绍如何使用网络监视器捕获实用工具 (Netcap.exe),您可以使用该工具在网络监视器中捕获网络通信。

更多信息

Netcap 只能通过命令提示符提供捕获功能;要打开所生成的捕获 (.cap) 文件,您必须使用完整的网络监视器界面。

Netcap 是随 Windows XP 安装光盘上的支持工具一起安装的。

有关如何安装这些工具的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
306794 如何从 Windows XP 安装光盘安装支持工具
网络监视器随 Windows Server 产品和 Microsoft Systems Management Server (SMS) 一起提供。

Netcap 提供的捕获功能类似于 Windows Server 产品附带的网络监视器版本;但是,您必须在命令提示符处使用 Netcap。Netcap 安装网络监视器驱动程序并在您第一次运行 Netcap 命令时将其绑定到所有适配器。

Netcap 的完整语法如下所示:
用法:NetCap.exe [/B:#] [/T <Type> <Buffer> <HexOffset> <HexPattern>]
[/F:<filterfile.cf>] [/C:<capture file>] [/N:#]
[/L:HH:MM:SS] [/TCF:<Folder Name>]

示例:NetCap /B:20 /N:2 /T BP 100 0a ff1f /F:d:\IPFilter.CF

/B:# - 缓冲区,要获取的捕获大小,从 1MB 到 1000MB,默认值为 1MB

/T   - 触发器,当达到给定的缓冲区和/或模式时停止捕获
如果没有给定任何触发器,将在缓冲区变满时停止捕获
使用“/T N”可以继续捕获,即使缓冲区已满
缓冲区一旦变满,最早捕获的帧将被覆盖
注意:使用“/T N”时,您必须按空格键来停止捕获

<Type>      - “B”= 缓冲区,“P”= 模式,“BP”= 先缓冲区后模式,
“PB”= 先模式后缓冲区“N”= 无触发器

<Buffer>    - 与 B、BP、PB(非 P)一起使用时的
缓冲区大小百分比“25”、“50”、“75”、“100”

<HexOffset> - 与 P、BP、PB(非 B)一起使用时距帧起始处的十六进制偏移值

<HexPattern>- 与 P、BP、PB(非 B)一起使用时要匹配的十六进制模式
模式必须是偶数个十六进制数字

/C:<Capture File> - 将临时捕获移动到完整路径和/或文件名
可以是任何有效的本地或远程路径
如果不指定“/C”,捕获文件将保留在
默认的临时捕获文件夹中

/F:<filterfile.cf>- 网络监视器 2.x 生成的捕获筛选器 (*.cf)

/L:<HH:MM:SS>     - 给定时间内的捕获(最高值 99:99:99)
注意:此选项将覆盖默认的 100% 触发器,
除非同时指定“/T <trigger type>”

/TCF:<Folder Name>- 永久性地更改临时捕获文件夹
警告路径必须位于固定的本地硬盘驱动器上
设置后,只需再次使用该开关
即可更改目录

/Remove           - 删除网络监视器驱动程序的 NetCap 实例

/N:<#>            - 本计算机的 NIC 索引号
					
要确定网络接口卡 (NIC) 的索引号,可以使用 netcap /? 命令。在语法信息下,可以查看计算机上安装的适配器的列表。在该列表中,您可以选择要捕获的适当适配器。例如,如果要捕获安装了下列适配器的计算机上的拨号连接的通信,请使用 NIC 索引 0:
请为这些适配器使用下列索引号:
(default) 0 = ETHERNET (2C3D20524153) WAN (PPP/SLIP) Interface
1 = ETHERNET (000039139635) Local Area Connection 2
2 = ETHERNET (0000390E118E) Local Area Connection
					
下列命令是示例 Netcap 命令:
  • 要使用 10 MB 缓冲区捕获 NIC 1 上的通信,请使用下面的命令:
    netcap /n:1 /b:10
  • Netcap 通常在缓冲区已满时停止捕获。要使用“先进先出”(FIFO) 缓冲(这是网络监视器的默认设置)捕获通信,可以使用下面的命令:
    netcap /t n
    请注意,如果要停止捕获,请按空格键。
  • 要使用 1 MB FIFO 缓冲区捕获一小时的通信,请使用下面的命令:
    netcap /L:01:00:00
  • 要删除网络监视器驱动程序,请使用下面的命令:
    netcap /remove
使用 Netcap 创建的捕获文件默认情况下位于 UserProfile\Local Settings\Temp 文件夹中,其中 UserProfile 是用户配置文件的名称。您可以使用 /c/tcf 开关更改默认文件夹。

有关如何捕获网络通信或本文中使用的概念或术语的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
148942 如何使用网络监视器捕获网络通讯量

属性

文章编号: 310875 - 最后修改: 2004年5月31日 - 修订: 1.0
这篇文章中的信息适用于:
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional Edition
关键字:?
kbinfo KB310875
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com