Tijdens het oplossen van lastige verbinding of problemen met de toepassing, kan het heel nuttig zijn om te zien welke via het netwerk worden verzonden. Microsoft oorspronkelijk bood het Microsoft Network Monitor die werd opgevolgd door het Bericht van Microsoft-Analyzer. Helaas heeft Microsoft stopte met de Microsoft Message Analyzer en verwijderde de download links. Op dit moment worden alleen de oudere Microsoft Network Monitor is beschikbaar.
Natuurlijk, u kunt gebruik maken van hulpprogramma ‘ s van derden voor het uitvoeren van de netwerk vangt, zoals WireShark. Hoewel sommige hulpprogramma ‘ s van derden, kan het bieden van een betere ervaring met Microsoft Network Monitor toch houdt zijn eigen. In dit artikel gaan we zien hoe het vangen en pakketten inspecteren met behulp van de laatste beschikbare versie van Microsoft Network Monitor, een van de meest populaire tools die er zijn.
Hoewel ik zou hebben gebruikt WireShark, ik heb gevonden dat de interface en de gebruiksvriendelijkheid van Microsoft Network Monitor, uit de doos, is veel gemakkelijker te gebruiken. Veel van hetzelfde kan worden bereikt in WireShark, maar je kan nog veel meer te doen van de configuratie van de interface.
Het Vastleggen Van Pakketten Met Behulp Van Microsoft Network Monitor
Eerst moeten we voor het installeren van Microsoft Network Monitor, kunt u het hier downloaden en vervolgens verder te installeren. Wanneer u Microsoft Network Monitor is geïnstalleerd, ga je gang en start het programma. Eenmaal gestart, klikt u op Nieuwe Vastleggen.
Het bekijken van de Start PaginaVolgende, wil je om te beginnen met de monitoring door te klikken op de knop Start. Dit zal direct beginnen met het vastleggen en zie je gesprekken te beginnen te laten zien op de linkerkant.
Het bekijken van een Nieuw scherm voordat het is begonnen met het vastleggen vanAls u vindt dat u een foutmelding krijgen nee te zeggen adapters zijn gebonden, dan moet je het uitvoeren van Microsoft Network Monitor als Beheerder. Bovendien, als u zojuist hebt geïnstalleerd, moet u mogelijk opnieuw opstarten.
Een van de grote voordelen van het gebruik van Microsoft Network Monitor is dat deze groepen uw netwerk gesprekken heel eenvoudig op de linkerkant. Dit maakt het kijken naar specifieke processen veel makkelijker te vinden en dan een duik in.
Weergeven Netwerk GesprekkenHet uitbreiden van een van de plustekens zal u tonen de specifieke set van “gesprekken” dat het netwerk monitor kan hebben gevangen en gegroepeerd onder een proces.
Het Filteren Van Verkeer
Je zal al snel merken dat met al deze gegevens, zal je nodig hebt om meer gemakkelijk filteren van ruis. Een voorbeeld van het gebruik van een filter, is het DnsAllNameQuery, onder de DNS-sectie van de Standaard Filters. Door het toevoegen van deze regel op de display filter sectie en klik op Toepassen, dan zul je in staat om alleen de pakketten die DNS-query ‘ s, zoals hieronder.
Het bekijken van de DnsAllNameQuery FilterFilters
Het maken van filters of het wijzigen van de ingebouwde filters is zeer eenvoudig. In de Display Filter veld, er zijn verschillende manieren om te bouwen-filters. Door het invoeren van een Protocol Naam en het volgende dat door een . (periode), zie je een auto-complete van mogelijke waarden met elkaar te vergelijken. Met behulp van de standaard vergelijking operator == we kunnen zien of bepaalde waarden gelijk zijn. We kunnen zelfs multi-expressies met behulp van logische operatoren zoals and en or. Een voorbeeld van hoe dit eruit ziet is hieronder.
DNS.QuestionCount EN
DNS.Kroniek.TimeToLive == 14
Er zijn een paar methoden die beschikbaar zijn, zoals bevat() en UINT8(). Je kan zien met behulp van de methode bevat hieronder om te filteren op slechts DNS-records bevatten [google.com](http://google.com) en een TimeToLive van 14.
DNS.QuestionCount EN
DNS.Kroniek.TimeToLive == 14 EN
DNS.QRecord.QuestionName.bevat(“google.com”)
Zoals je misschien kunnen vertellen, er zijn een aantal manieren te combineren filters om ze bruikbaar te maken en handig om te gebruiken. Dit is een geweldige manier om alleen de gegevens die u geïnteresseerd bent in, vooral omdat packet capture kan behoorlijk groot zijn. In de volgende paragraaf nemen we een kijkje bij enkele nuttige voorbeelden.
Voorbeeld Filters
Enkele voorbeelden uit de praktijk dan wat de standaard ingebouwde degenen zijn, gaan een lange weg om u te helpen begrijpen hoe krijg ik gewoon de nuttige gegevens die je nodig hebt.
Filteren door een Poort Nummer
Al is het mogelijk om gebruik te maken van het HTTP-protocol filteren met behulp van de volgende methode stelt u in staat om rekening te houden met aangepaste poorten, zoals 8080 of 8443, wat vooral handig is bij het oplossen van problemen.
// Filter door TCP Poort Nummer
tcp.port == 80 OF Payloadheader.LowerProtocol.port == 80
tcp.port == 443 OF Payloadheader.LowerProtocol.port == 443
TCP frames die gefragmenteerde weer in elkaar gezet en geplaatst in een nieuw frame in de trace bevat een speciale header genaamd, Payloadheader. Door te kijken naar zowel kunnen we ervoor zorgen dat we krijgen van alle gegevens die wij op zoek zijn naar hier.
Vind SSL-Onderhandelingen Frames
Tijdens het oplossen van problemen, kan het nodig zijn om te begrijpen wat de SSL-verbindingen worden geprobeerd worden onderhandeld. Hoewel u misschien niet in staat om het decoderen van de interne verkeer, dit zal helpen bij het vinden van welke server de verbinding probeert te gebruiken.
// Filter door de SSL-Handshake
TLS.TlsRecLayer.TlsRecordLayer.SSLHandshake.Handdruk.HandShakeType == 0x1
Vind TCP Zendt en SYN Zendt
Voor het oplossen van bestand uploaden en downloaden van problemen, kunt u kijken om te zien of veel herhalingen plaatsvinden die kunnen worden invloed op de prestaties.
Eigendom.TCPRetransmit == 1 || Het Onroerend Goed.TCPSynRetransmit == 1
Zorg ervoor dat u gesprekken ingeschakeld, dit filter is afhankelijk van die functionaliteit.
Het lezen van Beelden en Hex Data
Standaard is de indeling van het venster heeft twee onderste ruiten gewijd aan het Frame Details en Hex Details. Binnen het Frame Details is elk pakket opgesplitst in zijn samenstellende delen. Aan de andere kant is de Hex Details die de raw bytes en decoderen. Als u een andere sectie binnen het Frame details, dezelfde sectie binnen de Hex code zal worden gemarkeerd.
Weergeven Frame Details en de raw-Hex DataConclusie
Het uitvoeren van netwerk-traces is heel gemakkelijk met de nieuwste versie van Windows. Hoewel Microsoft heeft ervoor gekozen om te stoppen of te verwijderen van hun intern gemaakt tools, sommige nog wel goed. Er zijn tal van anderen, zoals WireShark, maar Microsoft Network Monitor maakt het nog steeds heel gemakkelijk te verwerken en begrijpen van de packet-informatie is opgenomen.