NetMon 3.3

User Rating: 5 / 5

Star ActiveStar ActiveStar ActiveStar ActiveStar Active
 
Details
Category: Sniffer
Created: Saturday, 31 December 2011 16:12
Last Updated: Saturday, 31 December 2011 16:12
Published: Saturday, 31 December 2011 16:12
Written by Frank
Hits: 13813

NetMon 3.3

Herausgeber ist Microsoft

Gui und Commandozeilentool NMCAP.exe
32bit und 64bit
Lässt sich ohne reboot installieren und auch wieder deinstallieren.
Kostenfrei
farbliche Kennzeichnung von Filteroptionen

Über Kommandozeile möglich mit nmcap.

Modifizieren der Spalten in der Paket Ansicht
Time Of Day
Time Delta
TCPSeq Number
Frame Number
Time Offset
Protocol Name

Filter:

Nach IP-Adresse, Port und schreibenden Zugriff
IPv4.Address==169.254.0.110 and tcp.Port!= 3389 And SMB.CNTCreateAndX.DesiredAccess.AccessMask.WriteDAC == 0x1

NTFS Rechte schreiben und Dateiname
SMB.CNTCreateAndX.DesiredAccess.AccessMask.WriteDAC == 0x1 and SMB.CNTCreateAndX.UnicodeFileName.FileName == "\\Test\\uTest"

Suche nach 2 IP-Adressen
ipv4.Identification==169.254.0.110 and IPv4.Address==169.254.0.112

Anmeldung
tcp.Flags.Syn

und Kerberos Port
// and tcp.DstPort==139
NTLM Port ist 445

ICMP Fehler
ICMP - icmp.type != 0 and icmp.type != 8

Verbindungsversuche
tcp.flags.reset == 1

Retransmissions
Property.TCPRetransmit
oder
tcp.RetransmitPayload

SMB Client Request & Server Response
SMBRequestNTCreateAndX or SMBResponseNTCreateAndX
Show only the create file traffic to track file usage
Smb.Command==0xa2