Как захватывать и проверять сетевые пакеты в Windows Server — CloudSavvy IT

При устранении сложных проблем с подключением или приложением может быть очень полезно увидеть, что передается по сети. Microsoft изначально предложила Microsoft Network Monitor который был заменен Microsoft Message Analyzer, К сожалению, Microsoft прекратила использование Microsoft Message Analyzer и удалила ссылки для его загрузки. В настоящее время доступен только более старый сетевой монитор Microsoft.

Конечно, вы можете использовать сторонние инструменты для выполнения сетевых захватов, такие как WireShark. Хотя некоторые сторонние инструменты могут предложить лучший опыт, Microsoft Network Monitor по-прежнему имеет свои собственные. В этой статье мы рассмотрим, как собирать и проверять пакеты, используя последнюю доступную версию Microsoft Network Monitor, одного из самых популярных инструментов.

Хотя я мог бы использовать WireShark, я обнаружил, что интерфейс и удобство использования Microsoft Network Monitor, из коробки, гораздо проще в использовании. Многое из того же можно сделать в WireShark, но вам, возможно, придется выполнить гораздо больше настроек в интерфейсе.

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Захват пакетов с помощью Microsoft Network Monitor

Во-первых, нам нужно установить Microsoft Network Monitor, вы можете найти загрузку Вот а затем приступить к его установке. Установив Microsoft Network Monitor, запустите программу. После запуска вы нажмете «Новый захват».

Просмотр стартовой страницы

Далее вы захотите запустить мониторинг, нажав на кнопку «Пуск». Это немедленно запустит захват, и вы увидите, что разговоры начинают появляться слева.

Просмотр нового экрана захвата до его начала захвата

Если вы обнаружите, что получаете сообщение об ошибке, в котором говорится, что адаптеры не связаны, то вы должны запустить Microsoft Network Monitor от имени администратора. Кроме того, если вы только что установили это, вам может потребоваться перезагрузка.

Одним из больших преимуществ использования Microsoft Network Monitor является то, что он очень легко группирует ваши сетевые разговоры с левой стороны. Это значительно упрощает поиск и анализ конкретных процессов.

Просмотр сетевых разговоров

Развертывание любого из плюсов покажет вам определенный набор «разговоров», которые сетевой монитор, возможно, перехватил и сгруппировал под процессом.

Фильтрация трафика

Вы быстро обнаружите, что при поступлении всех этих данных вам потребуется более легкая фильтрация шума. Одним из примеров использования фильтра является DnsAllNameQueryв разделе DNS стандартных фильтров. Добавив эту строку в раздел фильтра отображения и нажав «Применить», вы сможете отображать только те пакеты, которые являются запросами DNS, как показано ниже.

Просмотр фильтра DnsAllNameQuery

Строительные фильтры

Создать фильтры или изменить встроенные фильтры очень легко. В поле «Фильтр отображения» есть несколько способов создания фильтров. Вводя имя протокола и следуя . (точка), вы увидите автоматическое заполнение возможных значений полей для сравнения. Используя стандартный оператор сравнения == мы можем видеть, равны ли определенные значения. Мы даже можем создавать мульти-выражения, используя логические операторы, такие как and и or, Пример того, как это выглядит ниже.

DNS.QuestionCount AND
DNS.ARecord.TimeToLive == 14

Есть также несколько методов, таких как: contains() и UINT8(), Вы можете увидеть, используя метод содержимого ниже, чтобы отфильтровать только те записи DNS, которые содержат [google.com](http://google.com) и TimeToLive из 14,

DNS.QuestionCount AND
DNS.ARecord.TimeToLive == 14 AND
DNS.QRecord.QuestionName.contains("google.com")

Как вы могли бы сказать, существует несколько способов объединить фильтры, чтобы сделать их полезными и удобными в использовании. Это отличный способ вернуть только те данные, которые вам интересны, тем более что захват пакетов может стать довольно большим. В следующем разделе мы рассмотрим еще несколько полезных примеров.

Фильтры примеров

Некоторые практические примеры, помимо встроенных по умолчанию, помогают вам понять, как получить именно те полезные данные, которые вам нужны.

Фильтрация по номеру порта

Хотя для фильтрации можно использовать протокол HTTP, используя следующий метод, вы можете учесть пользовательские порты, такие как 8080 или же 8443, что особенно полезно при устранении неполадок.

// Filter by TCP Port Number
tcp.port == 80 OR Payloadheader.LowerProtocol.port == 80
tcp.port == 443 OR Payloadheader.LowerProtocol.port == 443

Фрагменты TCP, которые были фрагментированы, собираются и вставляются в новый кадр трассировки, который содержит специальный заголовок с именем Payloadheader, Ища оба, мы можем быть уверены, что получаем все данные, которые ищем здесь.

Найти рамки для переговоров по SSL

При устранении неполадок может потребоваться понять, о каких SSL-соединениях пытаются договориться. Хотя вы, возможно, не сможете расшифровать внутренний трафик, это поможет найти серверы, которые пытается использовать соединение.

// Filter by SSL Handshake
TLS.TlsRecLayer.TlsRecordLayer.SSLHandshake.HandShake.HandShakeType == 0x1

Найти TCP ретранслирует и SYN ретранслирует

Чтобы устранить проблемы с загрузкой и загрузкой файлов, вы можете посмотреть, не происходит ли много повторных передач, которые могут повлиять на производительность.

Property.TCPRetransmit == 1 || Property.TCPSynRetransmit == 1

Убедитесь, что разговоры включены, этот фильтр зависит от этой функции.

Чтение фреймов и шестнадцатеричных данных

По умолчанию макет окна имеет две нижние панели, предназначенные для сведений о кадре и шестнадцатеричных данных. В рамках Frame Details каждый пакет разбивается на составные части. На противоположной стороне находятся шестнадцатеричные детали, которые являются необработанными байтами и декодированием. При выборе другого раздела в деталях фрейма, тот же раздел в шестнадцатеричном коде также будет выделен.

Просмотр сведений о кадре и необработанных шестнадцатеричных данных

Вывод

Выполнение сетевых трассировок очень просто с последней версией Windows. Хотя Microsoft решила прекратить или отказаться от своих внутренних инструментов, некоторые все еще процветают. Есть много других, таких как WireShark, но Microsoft Network Monitor по-прежнему позволяет довольно легко анализировать и понимать информацию о пакетах, которая собирается.

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *