Durante la risoluzione di complicati problemi di connessione o applicazione, può essere molto utile vedere cosa viene trasmesso in rete. Microsoft originariamente offriva il Monitor di rete Microsoft cosa è successo? Analizzatore di messaggi Microsoft. Sfortunatamente, Microsoft ha interrotto Microsoft Message Analyzer e ha eliminato i suoi collegamenti per il download. Oggi, è abilitato solo il vecchio Microsoft Network Monitor.
Comunque, puoi utilizzare strumenti di terze parti per acquisire acquisizioni di rete, come WireShark. Anche se alcuni strumenti di terze parti potrebbero offrire un'esperienza migliore, Microsoft Network Monitor sta ancora andando forte. In questo post, vedremo come acquisire e ispezionare i pacchetti utilizzando l'ultima versione disponibile di Microsoft Network Monitor, uno degli strumenti più popolari in circolazione.
Anche se avrei potuto usare WireShark, Ho scoperto che l'interfaccia e la facilità d'uso di Microsoft Network Monitor, pronto all'uso, è molto più facile da usare. Molto dello stesso può essere ottenuto in WireShark, ma è possibile che tu abbia bisogno di fare molte più impostazioni sull'interfaccia.
Acquisizione di pacchetti con Microsoft Network Monitor
Primo, dobbiamo installare Microsoft Network Monitor, puoi trovare il download qui e poi procedere con l'installazione. Una volta installato Microsoft Network Monitor, vai avanti e avvia il programma. Una volta avviato, farà clic su Nuova acquisizione.
Prossimo, ti consigliamo di iniziare il monitoraggio facendo clic sul pulsante Start. Questo avvierà immediatamente l'acquisizione e vedrai le conversazioni iniziare ad apparire sul lato sinistro.
Se ti accorgi di ricevere un messaggio di errore che dice che non ci sono adattatori accoppiati, quindi devi eseguire Microsoft Network Monitor come amministratore. Allo stesso tempo, se hai appena installato questo, potrebbe essere necessario riavviare.
Uno dei grandi vantaggi dell'utilizzo di Microsoft Network Monitor è che raggruppa molto facilmente le conversazioni di rete sul lato sinistro.. Ciò rende molto più facile trovare processi specifici e quindi immergersi in essi..
L'espansione di uno qualsiasi dei segni più ti mostrerà il set specifico di “conversazioni” che il monitor di rete potrebbe aver acquisito e raggruppato in base a una procedura.
Filtraggio del traffico
Lo scoprirai rapidamente con tutti questi dati inseriti, dovrai filtrare il rumore più facilmente. Un esempio di utilizzo di un filtro è il DnsAllNameQuery, nella sezione DNS dei filtri standard. Aggiungendo questa riga alla sezione del filtro di visualizzazione e facendo clic su Applica, sarà in grado di mostrare solo i pacchetti che sono query DNS, come mostrato di seguito.
Filtri di costruzione
Creare filtri o modificare i filtri integrati è molto semplice. All'interno del campo Filtro di visualizzazione, ci sono diverse alternative per costruire filtri. Inserendo un nome di protocollo e seguendolo con a . (punto), vedrai un completamento automatico dei possibili valori dei campi da confrontare. Utilizzando l'operatore di confronto standard di == possiamo vedere se certi valori sono uguali. Possiamo persino creare più espressioni usando operatori logici come and e or. Di seguito è riportato un esempio di come appare.
DNS.QuestionCount AND
DNS.ARecord.TimeToLive == 14Inoltre ci sono alcuni metodi disponibili, Che cosa contains() e UINT8(). Puoi vedere l'uso del metodo contiene di seguito per filtrare solo i record DNS che contengono [google.com](http://google.com) e un tempo per vivere 14.
DNS.QuestionCount AND
DNS.ARecord.TimeToLive == 14 AND
DNS.QRecord.QuestionName.contains("google.com")Come potete vedere, ci sono diverse alternative per combinare i filtri per renderli utili e comodi da usare. Questo è un ottimo modo per restituire solo i dati che ti interessano, soprattutto perché l'acquisizione dei pacchetti può diventare piuttosto grande. Nella prossima sezione, diamo un'occhiata ad alcuni esempi più utili.
Filtri di esempio
Alcuni esempi pratici, oltre i costruttori predefiniti, sono molto utili per aiutarti a capire come ottenere solo i dati utili di cui hai bisogno.
Filtrato per numero di porta
Anche se è possibile utilizzare il protocollo HTTP per filtrare, L'utilizzo del seguente metodo consente di contare le porte personalizzate, Che cosa 8080 oh 8443, che è particolarmente utile per la risoluzione dei problemi.
// Filter by TCP Port Number
tcp.port == 80 OR Payloadheader.LowerProtocol.port == 80
tcp.port == 443 OR Payloadheader.LowerProtocol.port == 443I frame TCP che sono stati frammentati vengono riassemblati e inseriti in un nuovo frame nella traccia che contiene un'intestazione speciale chiamata, Payloadheader. Quando cerchi entrambi, possiamo assicurarci di ottenere tutti i dati che stiamo cercando qui.
Trova i framework di negoziazione SSL
Durante la risoluzione dei problemi, potresti aver bisogno di capire quali connessioni SSL stai cercando di negoziare. Anche se potrebbe non essere in grado di decifrare il traffico interno, questo ti aiuterà a trovare quali server sta tentando di utilizzare la connessione.
// Filter by SSL Handshake
TLS.TlsRecLayer.TlsRecordLayer.SSLHandshake.HandShake.HandShakeType == 0x1Trova le ritrasmissioni TCP e le ritrasmissioni SYN
Per risolvere i problemi di caricamento e download di file, puoi vedere se si verificano molte ritrasmissioni che potrebbero influire sulle prestazioni.
Property.TCPRetransmit == 1 || Property.TCPSynRetransmit == 1Assicurati di avere le conversazioni attive, questo filtro dipende da quella funzionalità.
Lettura di frame e dati esadecimali
Per impostazione predefinita, il layout della finestra ha due pannelli inferiori dedicati ai dettagli del frame e ai dettagli esadecimali. All'interno dei dettagli del telaio, ogni confezione è suddivisa nelle sue parti componenti. Sul lato opposto ci sono i dettagli esadecimali, cosa sono i byte grezzi e la decodifica?. Quando si sceglie una sezione diversa all'interno dei dettagli del telaio, anche la stessa sezione sarà evidenziata all'interno del codice esadecimale.
conclusione
Il monitoraggio della rete è molto semplice con l'ultima versione di Windows. Anche se Microsoft ha scelto di interrompere o deprecare i suoi strumenti creati internamente, alcuni prosperano ancora. Ce ne sono molti altri, come WireShark, ma Microsoft Network Monitor rende ancora abbastanza facile analizzare e comprendere le informazioni del pacchetto che viene catturato.
