Während der Fehlersuche schwierig-Verbindung oder Anwendung Probleme, kann es sehr hilfreich sein, um zu sehen, was über das Netzwerk übertragen. Microsoft ursprünglich bot Microsoft Network Monitor war es gelungen, die von der Microsoft Message Analyzer. Leider hat Microsoft abgekündigten Microsoft Message Analyzer und entfernt Ihre download-links. Derzeit ist nur die ältere Microsoft-Netzwerk-Monitor zur Verfügung.
Natürlich können Sie tools von Drittanbietern verwenden, für die Durchführung von Netzwerk erfasst, wie WireShark. Obwohl einige Drittanbieter-tools bieten kann, eine bessere Erfahrung mit Microsoft Network Monitor, noch hält seine eigene. In diesem Artikel werden wir gehen, um zu sehen, wie das erfassen und prüfen-Pakete mit der letzten verfügbaren version von Microsoft Network Monitor, eines der beliebtesten tools gibt.
Obwohl, ich könnte verwendet haben, WireShark habe ich festgestellt, dass die Schnittstelle und die Benutzerfreundlichkeit von Microsoft Network Monitor, out of the box, ist viel leichter zu benutzen. Ebenso viel erreicht werden kann in WireShark, aber Sie müssen weit mehr tun, Konfiguration in das interface.
Pakete Erfasst Mithilfe Von Microsoft Network Monitor
Zuerst müssen wir installieren Microsoft Network Monitor können Sie die herunterladen hier und dann gehen, um es zu installieren. Sobald Sie haben Microsoft Network Monitor installiert haben, gehen Sie vor und starten Sie das Programm. Einmal gestartet, klicken Sie auf Neue Sammlung.
Anzeigen der StartseiteAls Nächstes werden Sie wollen, starten Sie die überwachung, indem Sie auf die Schaltfläche Start. Dies wird sofort mit der Erfassung beginnen, und Sie werden sehen, die Gespräche beginnen zu zeigen, bis auf der linken Seite.
Betrachten Sie eine Neue Capture-Bildschirm, bevor es begonnen hat, erfassenWenn Sie feststellen, dass Sie eine Fehlermeldung erhalten: keine Adapter gebunden sind, dann sollten Sie run Microsoft Network Monitor als Administrator an. Darüber hinaus, wenn Sie gerade installiert haben, können Sie brauchen, um neu zu Booten.
Einer der großen Vorteile der Verwendung von Microsoft Network Monitor ist, dass es Gruppen, die Ihre Gespräche sehr leicht auf der linken Seite. Dies macht einen Blick auf spezifische Prozesse viel einfacher zu finden und dann Tauchen Sie ein in.
Anzeigen GesprächeAusbau eines der plus-Zeichen zeigen Sie die spezifischen set von “Gesprächen”, die das Netzwerk überwachen können erfasst und gruppiert unter einem Prozess.
Filtern Von Datenverkehr
Sie werden schnell feststellen, dass mit all diesen Daten ankommen, die Sie benötigen, um leichter die Geräusche herausfiltern. Ein Beispiel der Verwendung eines filters, das DnsAllNameQuery, unter der DNS-Abschnitt der Standard-Filter. Durch hinzufügen dieser Zeile in der display-filter-Abschnitt, und klicken Sie auf “Übernehmen”, dann werden Sie in der Lage sein, der nur jene Pakete, die DNS-Abfragen, wie unten.
Anzeigen der DnsAllNameQuery FilterGebäude-Filter
Filter erstellen oder ändern der built-in-Filter, ist sehr einfach. In der Anzeige Filter-Bereich gibt es mehrere Möglichkeiten, zu konstruieren Filter. Durch die Eingabe in ein Protokoll Namen und nach durch eine . (Zeit), Sie werden sehen, eine auto-vervollständigen der für dieses Feld möglichen Werte zu vergleichen. Mit den standard-Vergleichs-operator == wir können sehen, ob bestimmte Werte gleich sind. Wir können sogar multi-Ausdrücke mit logischen Operatoren wie und und oder. Ein Beispiel, wie das aussieht, sehen Sie unten.
DNS.QuestionCount UND
DNS.ARecord.TimeToLive == 14
Es gibt ein paar Methoden, die verfügbar sind, wie contains() und UINT8(). Sehen Sie sich mit der contains-Methode unten heraus zu filtern und nur die DNS-Datensätze, die enthalten [google.com](http://google.com) und eine Lebensdauer von 14.
DNS.QuestionCount UND
DNS.ARecord.TimeToLive == 14 UND
DNS.QRecord.QuestionName.enthält(“google.com”)
Wie Sie vielleicht in der Lage sein zu sagen, es gibt eine Reihe von Möglichkeiten der Kombination von filtern, um Ihnen nützlich und bequem zu bedienen. Dies ist eine großartige Möglichkeit, um nur die Daten zurück, die, denen Sie interessiert sind, vor allem, da packet capture können sehr groß werden. Im nächsten Abschnitt werfen wir einen Blick auf einige weitere nützliche Beispiele.
Beispiel Filter
Einige Beispiele aus der Praxis, über das hinaus, was die Standard-built-in sind, gehen Sie einen langen Weg, Ihnen zu helfen zu verstehen, wie man nur die nützlichen Daten, die Sie benötigen.
Filterung nach Port-Nummer
Obwohl es möglich ist, verwenden Sie das HTTP-Protokoll zu filtern, mithilfe der folgenden Methode können Sie Konto für benutzerdefinierte ports wie 8080 oder 8443, das ist besonders nützlich bei der Fehlersuche.
// Filtern nach TCP-Port-Nummer
tcp.port == 80 ODER Payloadheader.LowerProtocol.port == 80
tcp.port == 443 ODER Payloadheader.LowerProtocol.port == 443
TCP-frames, wurden fragmentiert sind zusammengesetzt und eingefügt in einen neuen Rahmen in der Spur, die enthält eine spezielle header-Namen, Payloadheader. Indem Sie für beide suchen, können wir sicherstellen, dass wir immer alle Daten, die wir hier suchen.
Finden SSL-Handshake-Frames
Während der Fehlersuche können Sie brauchen, um zu verstehen was SSL-verbindungen versucht werden zu verhandeln. Obwohl Sie möglicherweise nicht in der Lage zu entschlüsseln, die den internen Datenverkehr, dies wird helfen, zu finden, welche Server die Verbindung zu verwenden versucht.
// Filtern von SSL-Handshake
TLS.TlsRecLayer.TlsRecordLayer.SSLHandshake.HandShake.HandShakeType == 0x1
Finden Sie TCP-Retransmits und SYN-Neuübertragung
Zu beheben, Datei-upload-und download-Probleme haben, können Sie schauen, um zu sehen, wenn viele Neuübertragungen auftreten könnte, werden Auswirkungen auf die Leistung.
Eigenschaft.TCPRetransmit == 1 || Eigenschaft.TCPSynRetransmit == 1
Stellen Sie sicher, dass die Gespräche eingeschaltet, dieser filter hängt, die Funktionalität.
Lesen der Frames und Hex-Daten
Standardmäßig ist das Fenster-layout hat zwei unteren Scheiben gewidmet Frame Details und Hex Details. Innerhalb der Frame Details ist jedes Paket wird aufgeteilt in seine Bestandteile. Auf der gegenüberliegenden Seite ist die Hex-Daten, die die raw-bytes und Dekodierung. So wählen Sie einen anderen Abschnitt innerhalb des Rahmens details, die den gleichen Abschnitt innerhalb der Hex-code wird hervorgehoben, wie gut.
Anzeigen-Rahmen-Details und der raw-Hex-DatenFazit
Durchführen von Netzwerk-traces ist es sehr einfach, mit der neuesten version von Windows. Aber Microsoft hat sich entschieden, zu beenden oder aufgelassen Ihre intern erstellten Werkzeuge, von denen einige noch gedeihen. Es gibt viele andere, wie z.B. WireShark, Microsoft Network Monitor, noch macht es ganz einfach zu analysieren und zu verstehen, die Paket-Informationen, die erfasst werden.