网络监视器监视网络数据流，该数据流由任意给定时间内通过网络传输的所有信息组成。信息在传输之前，由网络软件分割成较小的块，这些小块称作帧或者数据包。

一些块包含网络监视器可用于解答网络问题的数据。例如，通过检查目标地址，能够确定帧是指明所有主机必须接收并处理的广播帧，还是发送到指定主机的直接传输帧。通过对帧的分析，可以确定帧的确切起因，这有助于确定产生这种帧类型的服务是否能够进行优化。下图阐明了以太网帧的组成部分：

　

网络监视器复制帧的过程称为捕获。您可以捕获发到本地网卡或从本地网卡发出的所有网络通信，也可以设置一个捕获筛选器来捕获帧的子集。还可以指定一系列条件来触发网络监视器捕获筛选器的事件。通过使用触发器，网络监视器可以响应网络上的事件。例如，您可以使 Windows 在网络监视器检测到网络上的一系列特定情况时启动可执行文件。在捕获了数据之后，您可以查看它。网络监视器通过将原始捕获数据转化为它的逻辑帧结构从而为您做了许多数据分析工作。网络监视器使用网络驱动程序接口规范 (NDIS) 功能将它检测到的所有帧复制到捕获缓存中。

因为 Windows 2000 中的网络监视器版本使用 NDIS 的"仅本地"模式替代了混合模式，所以即使您的网卡不支持混合模式，您照样可以使用网络监视器。当您使用 NDIS 驱动程序捕获帧时，网络性能不受影响。（网卡置于混合模式能够使 CPU 的负载增加百分之三十或者更多。）

二、了解网络监视器
下面我们一起来了解一下网络监视器：

网络监视是由称为网络监视器的系统管理工具和称为网络监视器驱动程序的网络协议组成的。为了捕获、显示和分析网络数据包（也称为帧），您必须安装所有这些组件。

使用网络监视器捕获和显示运行 Windows 2000 Server 的计算机从局域网接收的数据帧。网络管理员可以使用网络监视器检测和解决本地计算机可能遇到的网络问题。网络监视器只能安装在运行 Windows 2000 Server 的计算机上。当您安装网络监视器时，网络监视器驱动程序会自动安装在同一台计算机上。

网络监视器驱动程序允许网络监视器从网卡接收帧，并且允许使用 Microsoft 系统管理服务器提供的网络监视器版本的用户捕获和显示来自远程计算机的帧，其中包括通过拨号网络连接获得的帧。当运行系统管理服务器网络监视器的计算机用户与已经安装网络监视器驱动程序的计算机进行远程连接时（并且该用户已启动捕获进程），那么捕获的统计信息将通过网络传送到负责管理的计算机。网络监视器驱动程序只能安装在运行 Microsoft Windows 2000 Professional 或者 Windows 2000 Server 的计算机上。

Windows 2000 以外的操作系统的网络监视器驱动程序由系统管理服务器提供。作为对 Windows 2000 网络监视器功能的补充，系统管理服务器的网络监视器可以捕获网段中发送到或从所有计算机发出的帧，也可以编辑和传输这些帧。
　

为安全起见，Windows 2000 中的网络监视器版本仅捕获广播和多播帧、发送到或来自本地计算机的帧。网络监视器也为广播帧、多播帧、网络使用情况、每秒接收的总字节数和每秒接收的总帧数显示所有网络段统计信息。另外，为了保护您的网络以防有人未授权安装网络监视器，网络监视器提供了检测在网络中本地网段运行的其他网络监视器安装情况的功能。

为了防止有人未经授权监视您的网络，网络监视器能够检测到运行在网络中本地网段的其他网络监视器的安装情况。为在网络上捕获数据，网络监视器还会检测远程使用的网络监视器驱动程序的所有实例（或者通过来自系统管理服务器的网络监视器，或者通过系统监视器）。当网络监视器检测到网络上还安装了其他网络监视器时，它会显示关于这些监视器的下列信息：

在某些情况下，您的网络结构可能会阻止安装的某个网络监视器检测其他的网络监视器。例如，如果通过不转发多播的路由器安装的网络监视器与您安装的监视器完全独立，那么您安装的监视器就不能检测到通过路由器安装的监视器。

使用捕获筛选器

捕获筛选功能就象数据库查询一样，使用它指定希望监视的网络信息的类型。例如，如果只想观察计算机或协议的指定子网，可以创建地址数据库，使用该数据库将地址添加到您的筛选器中，然后将筛选器保存为一个文件。通过对帧的筛选，既节省了缓存资源，又节省了时间。如果必要的话，您可以稍后再次加载捕获筛选器文件和使用筛选器。

三、使用网络监视器
了解了网络监视器的基本情况后，我们借可以使用它来为我们工作了：

要设计捕获筛选器，请在"捕获筛选器"对话框中指定决策声明。这个对话框显示了筛选器的决策树，决策树是筛选器逻辑的图形表示。当您从捕获规范中包括或排除信息时，决策树反映了这些规范。

要捕获使用特定协议发送的帧，请在捕获筛选器的 SAP/ETYPE= 行上指定协议。例如，如果希望仅捕获 IP 帧，请禁用所有协议，然后启用 IP ETYPE 0x800 和 IP SAP 0x6。默认情况下，启用网络监视器所支持的所有协议。

要捕获来自网络上特定计算机的帧，请在捕获筛选器中指定一个或多个地址对。您可以同时监视最多四个特定的地址对。

地址对由以下部分组成：

希望监视其通信的两台计算机的地址。

指定希望监视的通信方向的箭头。

"INCLUDE"或者"EXCLUDE"关键字，指示了网络监视器如何响应符合筛选器规范的帧。

不管在"捕获筛选器"对话框中状态显示的顺序如何，都应首先评估"排除"状态。因此，如果帧符合包含"EXCLUDE"和"INCLUDE"两条语句的筛选器中"EXCLUDE"语句所指定的条件，那么此帧将被丢弃。网络监视器不根据"INCLUDE"语句测试此帧是否也符合标准。

例如，要捕获来自 Joe 计算机上的所有通信（从 Joe 到 Anne 的通信除外），请使用下列捕获筛选器地址部分：

如果没有 Include 行，则默认使用 your_computer <----> Any。

通过在捕获筛选器中指定模式匹配，您可以：

当基于模式匹配进行筛选时，您必须指定模式出现在帧中的位置（距离开始或结尾的字节数）。如果网络媒体在媒体访问控制协议中具有可变的大小，例如以太网或令牌环网，请指定从拓扑结构头的结尾开始计数。

象捕获筛选器一样，显示筛选器功能就象数据库查询，允许您选出特定类型的信息。但是因为显示筛选器在已经捕获的数据上操作，所以它不影响网络监视器捕获缓存中的内容。

使用显示筛选器确定显示的帧。您可以根据如下内容筛选帧：

网络监视器通过解释在捕获过程中收集的原始数据以及在"帧查看器"窗口中显示数据来简化数据分析过程。

要在"帧查看器"窗口中显示捕获的信息，请在进行捕获时单击"捕获"菜单上的"停止和查看"。或者打开一个捕获文件 (.cap)。

要显示用"Network General Sniffer"捕获的数据，请打开未压缩的 Sniffer 文件。要查看压缩的 Sniffer 文件，请在 Sniffer 中打开此文件然后以不压缩格式保存此文件。或者，从 Network General 中获取 Sniffer 文件的解压缩工具。

"帧查看器"窗口包括下列窗格：