Como capturar e inspeccionar paquetes de red en Windows Server

Quieres saber como

Al solucionar problemas de conexión o aplicaciones difíciles, puede ser muy útil ver lo que se transmite a través de la red. Microsoft originalmente ofreció el Monitor de red de Microsoft que fue sucedido por el Analizador de mensajes de Microsoft

Desafortunadamente, Microsoft ha descontinuado el Analizador de mensajes de Microsoft y ha eliminado sus enlaces de descarga. Actualmente, solo está disponible el Microsoft Network Monitor más antiguo.

Por supuesto, puede usar herramientas de terceros para realizar capturas de red, como WireShark. Aunque algunas herramientas de terceros pueden ofrecer una mejor experiencia, Microsoft Network Monitor todavía tiene lo suyo. En este artículo, veremos cómo capturar e inspeccionar paquetes usando la última versión disponible de Microsoft Network Monitor, una de las herramientas más populares que existen.

Aunque podría haber utilizado WireShark, he descubierto que la interfaz y la facilidad de uso de Microsoft Network Monitor, de forma inmediata, son mucho más fáciles de usar. Se puede lograr mucho de lo mismo en WireShark, pero es posible que tenga que hacer muchas más configuraciones en la interfaz.

Captura de paquetes con Microsoft Network Monitor

Primero, necesitamos instalar Microsoft Network Monitor, puede ubicar la descarga aquí y luego proceder a instalarlo. Una vez que tenga instalado Microsoft Network Monitor, continúe e inicie el programa. Una vez lanzado, harás clic en Nueva captura.

A continuación, querrá iniciar la supervisión haciendo clic en el botón Inicio. Esto iniciará instantáneamente la captura y verá conversaciones que comienzan a aparecer en el lado izquierdo.

Si descubre que recibe un mensaje de error que dice que no hay adaptadores vinculados, debe ejecutar Microsoft Network Monitor como administrador. Además, si acaba de instalar esto, es posible que deba reiniciar.

Una de las grandes ventajas de usar Microsoft Network Monitor es que agrupa sus conversaciones de red muy fácilmente en el lado izquierdo. Esto hace que mirar procesos específicos sea mucho más fácil de encontrar y luego sumergirse.

Expandir cualquiera de los signos más le mostrará el conjunto específico de "conversaciones" que el monitor de red puede haber capturado y agrupado debajo de un proceso.

Tráfico de filtrado

Descubrirá rápidamente que con la entrada de todos estos datos, necesitará filtrar más fácilmente el ruido. Un ejemplo de uso de un filtro es el DnsAllNameQuery, en la sección DNS de los filtros estándar. Al agregar esta línea a la sección de filtro de visualización y hacer clic en Aplicar, solo podrá mostrar aquellos paquetes que son consultas DNS

Filtros de construcción

Crear filtros, o modificar los filtros integrados, es muy fácil. Dentro del campo Mostrar filtro, hay varias formas de construir filtros. Al ingresar un Nombre de protocolo y seguirlo con un .(punto), verá un autocompletado de posibles valores de campo para comparar. Usando el operador de comparación estándar de ==podemos ver si ciertos valores son iguales. Incluso podemos crear expresiones múltiples utilizando operadores lógicos como andy or. Un ejemplo de cómo se ve esto a continuación.

DNS.QuestionCount AND

DNS.ARecord.TimeToLive == 14

También hay algunos métodos que están disponibles, como contains()y UINT8(). Puede ver el uso del método contiene a continuación para filtrar solo los registros DNS que contienen [google.com](http://google.com)y un TimeToLive de 14.

DNS.QuestionCount AND

DNS.ARecord.TimeToLive == 14 AND

DNS.QRecord.QuestionName.contains("google.com")

Como puede ver, hay varias formas de combinar filtros para que sean útiles y convenientes de usar. Esta es una excelente manera de devolver solo los datos que le interesan, especialmente porque la captura de paquetes puede llegar a ser bastante grande. En la siguiente sección, echamos un vistazo a algunos ejemplos más útiles.

Filtros de ejemplo

Algunos ejemplos prácticos, más allá de los que están incorporados por defecto, ayudan en gran medida a comprender cómo obtener solo los datos útiles que necesita.

Filtrado por número de puerto

Aunque es posible utilizar el protocolo HTTP para filtrar, el uso del siguiente método le permite tener en cuenta los puertos personalizados, como 8080o 8443, lo que es especialmente útil al solucionar problemas.

// Filter by TCP Port Number

tcp.port == 80 OR Payloadheader.LowerProtocol.port == 80

tcp.port == 443 OR Payloadheader.LowerProtocol.port == 443

Tramas TCP que han sido fragmentados se vuelven a montar y se inserta en un nuevo marco en la traza que contiene una cabecera especial llamado, Payloadheader. Al buscar ambos, podemos asegurarnos de obtener todos los datos que estamos buscando aquí.

Encuentra marcos de negociación SSL

Durante la resolución de problemas, es posible que deba comprender qué conexiones SSL se intentan negociar. Aunque es posible que no pueda descifrar el tráfico interno, esto ayudará a encontrar qué servidores está intentando utilizar la conexión.

// Filter by SSL Handshake

TLS.TlsRecLayer.TlsRecordLayer.SSLHandshake.HandShake.HandShakeType == 0x1

Buscar retransmisiones TCP y retransmisiones SYN

Para solucionar problemas de carga y descarga de archivos, puede ver si se producen muchas retransmisiones que podrían estar afectando el rendimiento.

Property.TCPRetransmit == 1 || Property.TCPSynRetransmit == 1

Asegúrese de tener conversaciones activadas, este filtro depende de esa funcionalidad.

Marcos de lectura y datos hexadecimales

De forma predeterminada, el diseño de la ventana tiene dos paneles inferiores dedicados a Detalles de cuadro y Detalles hexadecimales. Dentro de los Detalles del marco se divide cada paquete en sus partes componentes. En el lado opuesto están los detalles hexadecimales, que son los bytes sin procesar y la decodificación. A medida que seleccione una sección diferente dentro de los detalles del Marco, también se resaltará la misma sección dentro del código Hex.

Semrush sigue a tu competencia


Fecha actualizacion el 2020-04-10. Fecha publicacion el 2020-04-10. Categoria: ¿Quieres saber como? Autor: Oscar olg Mapa del sitio Fuente: cloudsavvyit Version movil