找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 402|回复: 0

安全人员运维日常必备工具之 LiveTcpUdpWatch

[复制链接] IP属地:广东省广州市
发表于 2023-2-20 09:44:00 | 显示全部楼层 |阅读模式
描述LiveTcpUdpWatch是Windows的工具,可显示有关系统上所有TCP和UDP活动的实时信息。 LiveTcpUdpWatch主表中的每一行都显示协议(TCP / UDP / IPv4 / IPv6),本地/远程IP地址,本地/远程端口,发送/接收字节数, 发送/接收的数据包数、连接/断开连接时间(仅适用于 TCP)以及负责此活动的进程(ID 和路径)。

LiveTcpUdpWatch vs CurrPorts vs NetworkTrafficView这个工具可能看起来与NirSoft的其他工具 - CurrPorts和NetworkTrafficView非常相似,但每个工具的行为不同,使用不同的 提取网络信息的技术。
  • CurrPorts 显示活动 TCP 连接和 TCP/UDP 侦听端口的当前表。但是这种技术有一些缺点,例如,如果发送UDP数据包 从您的计算机到远程网络地址,您将不会在 CurrPort 中看到它,因为使用 UDP 没有真正的连接,UDP 表仅包含侦听 UDP 端口。CurrPorts 的优点是能够在不提升的情况下使用它(以管理员身份运行)。
  • NetworkTrafficView使用网络嗅探技术 - 它分析您的网卡发送/接收的每个数据包,并根据您选择的显示模式显示广泛的摘要。 此工具的缺点:您必须选择网卡和捕获方法来激活网络嗅探器。
  • LiveTcpUdpWatch 使用事件跟踪 API 从 Windows 内核获取有关系统上发送/接收的每个 TCP/UDP 数据包的实时信息。 与 CurrPort 相反,它使用进程信息捕获所有 UDP 活动,但不需要使用网络嗅探器。

系统要求此工具适用于任何版本的Windows,从Windows XP到Windows 11。支持 32 位和 64 位版本的 Windows。 在 Windows Vista 及更高版本上,此工具需要以管理员身份运行(提升)。
版本历史
  • 1.44版:
    • 修复了错误:LiveTcpUdpWatch在使用GeoLite2 City数据库时随机崩溃。
  • 1.43版:
    • 修复了“字节计数器单元”选项中 KiB 单元的错误。
    • 修复了一些高 DPI 模式问题
  • 1.42版:
    • 添加了 /Columns 命令行选项,该选项允许您设置要显示的列或要从命令行导出的列,例如:
      LiveTcpUdpWatch.exe/Columns “进程名称,进程 ID,协议,远程端口,远程地址,接收字节,发送字节”
  • 1.41版:
    • 修复了从命令行捕获网络活动时 CPU 使用率较高的问题(/捕获时间命令)
  • 1.40版:
    • 添加了“主机名模式”选项 - “使用 DNS 缓存”(默认选项)或“解析 IP 地址”。
    • 请注意,如果您选择“解析IP地址”选项,LiveTcpUdpWatch将为每个解析的IP地址生成额外的DNS流量,并且 此流量也将由LiveTcpUdpWatch捕获...
  • 1.36版:
    • 将 GB 和 GiB 添加到“字节计数器单位”选项。
    • 添加了从菜单更改排序列的选项(查看 ->排序依据)。与列标题单击排序一样,如果您再次单击相同的排序菜单项,它将在升序和降序之间切换。此外,如果您在选择排序菜单项时按住 shift 键,您将获得辅助排序。
  • 1.35版:
    • 更新为在高 DPI 模式下正常工作
  • 1.34版:
    • 添加了“以隐藏方式启动”选项。当此选项和“将图标放在托盘上”选项打开时,LiveTcpUdpWatch的主窗口在启动时将不可见。
  • 1.33版:
    • 在右键单击上下文菜单中添加了“复制单击的单元格”选项,该选项将用鼠标右键单击的单元格的文本复制到剪贴板。
  • 1.32版:
    • 托盘图标的工具提示现在显示主窗口上显示的项目数。
  • 1.31版:
    • 修复了 /cfg 命令行选项,如果未指定完整路径,则从当前目录加载.cfg文件。
  • 1.30版:
    • 添加了“远程 IP 国家/地区”列。为了在此列中获取IP国家信息,您必须下载以下数据库之一,并将文件放在LiveTcpUdpWatch.exe的同一文件夹中: http://software77.net/geo-ip/GeoLite2数据库(仅支持CSV数据库)
    • 添加了使用 IPNetInfo 工具检查远程 IP 地址的选项。为了使用此功能,您必须将ipnetinfo.exe放在同一个文件夹中 LiveTcpUdpWatch.exe,选择具有要检查的IP地址的项目,然后从“文件”菜单或上下文菜单中选择“使用IPNetInfo检查远程地址”选项。
  • 1.26版:
    • 在“列设置”窗口中添加了“全选”和“取消全选”。
  • 1.25版:
    • 向所有字节计数器单元添加了千位分隔符。
    • 您可以从命令行设置保存在.cfg文件中的任何变量。例如,此命令将速度单位设置为 kB/秒:
      LiveTcpUdpWatch.exe/SpeedUnit 1
    • 添加了“将数字列右对齐”选项(默认情况下处于打开状态)。
  • 1.20版:
    • 添加了按进程名称过滤的选项(在“高级选项”窗口中 - F9)。
  • 1.16版:
    • 添加了“将图标放在托盘上”选项。
  • 1.15版:
    • 添加了仅捕获指定TCP / UDP端口的选项(在“高级选项”窗口中 - F9)。
  • 1.13版:
    • 添加了“保存文件编码”选项。
  • 1.12版:
    • 添加了“每次更新排序”选项。
  • 1.11版:
    • 添加了“将标题行添加到CSV/制表符分隔文件”选项(默认打开)。
    • 添加了“始终处于顶部”选项。
  • 1.10版:
    • 添加了命令行选项,可将 LiveTcpUdpWatch 的报告保存到文件中,而不显示任何用户界面。
  • 1.07版:
    • 添加了“保存所有项目”选项(Shift+Ctrl+S)。
  • 1.06版:
    • 添加了选择要在主窗口中显示的其他字体(名称和大小)的选项。
  • 1.05版:
    • 添加了新选项:“排除本地主机地址”;
    • 添加了新选项:“自动向下滚动新项目”
  • 版本 1.00 - 首次发布。

开始使用 LiveTcpUdpWatchLiveTcpUdpWatch不需要任何安装过程或额外的DLL文件。为了开始使用它,只需运行可执行文件 - LiveTcpUdpWatch.exe
运行LiveTcpUdpWatch后,它会立即开始显示系统上的任何TCP / UDP活动。 您可以从“选项”菜单中选择要捕获的协议(TCP、UDP、IPv4、IPv6)。 您也可以按 Ctrl+X(全部清除)清除所有累积数据,然后从空表重新开始。 如果要 暂时停止网络跟踪 ,只需取消选中“捕获网络数据”选项或按F2。
如果您只想查看活动的TCP连接,只需打开“删除关闭的TCP连接”选项(在“选项”菜单下)。

如果只有本地端口不同,则合并如果要减少LiveTcpUdpWatch显示的行数,可以激活以下选项:“如果只有本地端口不同,则合并TCP”, “如果只有本地端口不同,则合并 UDP”(在“选项”菜单下)。
例如:如果您的 Web 浏览器创建了 5 个到相同 IP 地址和相同端口(80 或 443)的 TCP 连接 - 而不是 5 行,您将获得所有 一行中有 5 个连接,“连接计数”列将显示“5”。
对于UDP,它更为重要,因为每个DNS查询都发送到相同的远程地址和端口(53),但不同的本地端口,因此激活“合并UDP” 选项会将所有DNS活动放在一行而不是多行中。

IP地址国家/城市信息LiveTcpUdpWatch允许您查看远程IP地址的国家/城市信息。国家/城市信息显示在“远程 IP 国家/地区”列下。 为了激活此功能,您必须下载以下外部文件之一, 并将文件放在LiveTcpUdpWatch的同一文件夹中.exe:
  • GeoLite2 City数据库:
    您应该下载CSV格式的GeoLite2城市或国家数据库,因为LiveTcpUdpWatch可以 仅读取此文件格式。 为了开始使用此数据库,只需提取LiveTcpUdpWatch文件夹中的所有文件.exe

与IPNetInfo实用程序集成如果要获取有关LiveTcpUdpWatch实用程序中显示的远程IP地址的更多信息, 您可以使用与IPNetInfo实用程序的集成,以便轻松查看直接从WHOIS服务器加载的IP地址信息:
  • 下载并运行最新版本的IPNetInfo实用程序,并将ipnetinfo.exe放在LiveTcpUdpWatch的同一文件夹中.exe 。
  • 选择所需的项目,然后从“文件”菜单或右键单击上下文菜单中选择“使用 IPNetInfo检查远程地址”。
  • IPNetInfo将检索有关所选项目的远程IP地址的信息。

命令行选项
/捕获时间<毫秒>指定保存命令行选项(/stext、/stab、/scomma 等)的捕获时间(以毫秒为单位)
默认值为 10000 毫秒(10 秒)。
例如,如果要捕获 TCP/UDP 活动 20 秒,然后将结果保存到 csv 文件:LiveTcpUdpWatch.exe /CaptureTime 20000 /scomma “c:
\temp\tcpudp.csv”
/cfg <文件名>使用指定的配置文件启动 LiveTcpUdpWatch。 例如:
LiveTcpUdpWatch.exe /cfg “c:\config\ltuw.cfg” LiveTcpUdpWatch.exe /cfg “%AppData%\LiveTcpUdpWatch.cfg”
/stext <文件名>将LiveTcpUdpWatch的报告保存到一个简单的文本文件中。
/stab <文件名>将 LiveTcpUdpWatch 的报告保存到制表符分隔的文本文件中。
/scomma <文件名>将 LiveTcpUdpWatch 的报告保存到逗号分隔的文本文件 (csv) 中。
/shtml <文件名>将LiveTcpUdpWatch的报告保存到HTML文件(水平)中。
/sverhtml <文件名>将LiveTcpUdpWatch的报告保存到HTML文件(垂直)中。
/sxml <文件名>将 LiveTcpUdpWatch 的报告保存到 XML 文件中。
/sjson <文件名>将 LiveTcpUdpWatch 的报告保存到 JSON 文件中。
/排序<列>此命令行选项可与其他保存选项一起使用,以按所需列进行排序。 <column> 参数可以指定列索引(0 表示第一列,1 表示第二列,依此类推)或 列的名称,例如“本地地址”和“远程地址”。 如果要按降序排序,可以指定“~”前缀字符(例如:“~接收的字节数”)。 如果要按多个列排序,可以在命令行中放置多个 /sort。
/列<逗号分隔的列列表>允许您设置要显示的列或要从命令行导出的列。 您必须指定列名,以逗号分隔,例如:
LiveTcpUdpWatch.exe/scomma c:\temp\tcp-udp-list.csv/Columns “进程名称,进程 ID,协议,远程端口,远程地址,接收字节数,已发送字节数”
您还可以指定不带空格字符的列名,例如:
LiveTcpUdpWatch.exe/Columns “”ProcessName,ProcessID,Protocol,RemotePort,RemoteAddress,ReceivedBytes,SentBytes”

将 LiveTcpUdpWatch 翻译成其他语言为了将LiveTcpUdpWatch翻译成其他语言,请按照以下说明操作:
  • 使用 /savelangfile 参数运行 LiveTcpUdpWatch:
    LiveTcpUdpWatch.exe /savelangfile
    将在 LiveTcpUdpWatch 实用程序的文件夹中创建一个名为 LiveTcpUdpWatch_lng.ini 的文件。
  • 在记事本或任何其他文本编辑器中打开创建的语言文件。
  • 将所有字符串条目翻译成所需的语言。 (可选)您还可以添加您的姓名和/或指向您网站的链接。 (“转换器名称”和“转换器 URL”值)如果您添加此信息,它将 在“关于”窗口中使用。
  • 完成翻译后,运行 LiveTcpUdpWatch,并完成所有翻译 字符串将从语言文件加载。
    如果您想在没有翻译的情况下运行LiveTcpUdpWatch,只需重命名语言文件,或移动 它到另一个文件夹。

许可证此实用程序作为免费软件发布。 您可以通过软盘,CD-ROM自由分发此实用程序, 互联网,或任何其他方式,只要您不为此收取任何费用并且您不收取任何费用 将其作为商业产品的一部分出售或分发。 如果分发此实用程序,则必须将所有文件包含在 分发包,无需任何修改!
免責聲明本软件按“原样”提供,不提供任何明示或暗示的保证, 包括但不限于对适销性和适用性的默示保证 用于特定目的。作者对任何特殊的、偶然的、 由于数据丢失或任何其他原因造成的后果性或间接损害。
反馈如果您有任何问题,建议,评论,或者在我的实用程序中发现错误, 您可以向 nirsofer@yahoo.com 发送消息

LiveTcpUdpWatch还提供其他语言版本。为了更改语言 LiveTcpUdpWatch,下载相应的语言zip文件,提取“livetcpudpwatch_lng.ini”, 并将其放在您安装的同一文件夹中 LiveTcpUdpWatch 实用程序。

语言译者日期版本
巴西葡萄牙语保罗·古兹曼01/11/20221.43
荷兰语扬·韦尔海延09/01/20231.44
法语拉戈09/07/20181.06
法语埃里克·菲肖特02/04/20191.15
德语«拉丁裔» auf WinTotal.de09/01/20231.44
希腊语geogeo.gr12/09/20191.20
匈牙利语蒂米诺恩12/12/20221.43
意大利语亚历山德罗·维斯科内09/06/20211.36
波斯语恐龙科技18/01/20231.44
葡萄牙语巴西伊戈鲁克特06/04/20181.00
罗马尼亚贾夫(奥普雷亚·尼古拉)29/05/20181.05
俄语德米特里·叶罗欣15/07/20211.40
简体中文迪克摩尔09/02/20231.44
简体中文Wysnxzm14/05/20201.30
简体中文王玲玲27/05/20201.30
斯洛伐克语弗兰季谢克·菲科03/02/20231.44
西班牙语 22/04/20181.05
繁体中文谢丹芳01/08/20211.40
土耳其语哈伦阿里09/01/20231.44


您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|西兴社区 ( 蜀ICP备2022005627号 )|网站地图

GMT+8, 2024-12-27 11:34 , Processed in 0.650239 second(s), 22 queries .

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表