FeaturedNOTICIAS

Cómo capturar e inspeccionar paquetes de red en Windows Server – CloudSavvy IT


Al solucionar problemas de conexión o aplicaciones difíciles, puede ser muy útil ver qué se está transmitiendo a través de la red. Microsoft ofreció originalmente el Microsoft Network Monitor que ha sido reemplazado por Microsoft Message Analyzer. Desafortunadamente, Microsoft ha descontinuado Microsoft Message Analyzer y ha eliminado sus enlaces de descarga. Actualmente, solo está disponible la versión anterior de Microsoft Network Monitor.

Por supuesto, puede utilizar herramientas de terceros para realizar capturas de red, como WireShark. Si bien algunas herramientas de terceros pueden ofrecer una mejor experiencia, Microsoft Network Monitor todavía tiene la suya propia. En este artículo veremos cómo capturar e inspeccionar paquetes utilizando la última versión disponible de Microsoft Network Monitor, una de las herramientas más populares que existen.

Si bien podría haber usado WireShark, descubrí que la interfaz y la facilidad de uso de Microsoft Network Monitor, listas para usar, son mucho más fáciles de usar. Mucho de lo mismo se puede lograr en WireShark, pero es posible que deba realizar mucha más configuración en la interfaz.

Captura de paquetes con Microsoft Network Monitor

Primero, necesitamos instalar Microsoft Network Monitor, puede ubicar la descarga aquí y luego continuar con la instalación. Una vez que Microsoft Network Monitor esté instalado, continúe e inicie el programa. Una vez iniciado, hará clic en Nueva captura.

Visualización de la página de inicio

A continuación, querrá comenzar a monitorear haciendo clic en el botón Iniciar. Esto comenzará a capturar inmediatamente y verá que las conversaciones comienzan a aparecer en el lado izquierdo.

Ver una nueva pantalla de captura antes de que comience la captura

Si recibe un mensaje de error que dice que no hay ningún adaptador asociado, entonces debería estar ejecutando Microsoft Network Monitor como administrador. Además, si lo acaba de instalar, es posible que deba reiniciar.

Uno de los grandes beneficios de usar Microsoft Network Monitor es que agrupa las conversaciones de red en el lado izquierdo con mucha facilidad. Esto hace que la búsqueda de procesos específicos sea mucho más fácil de encontrar y luego sumergirse en ellos.

Ver conversaciones de la red

La expansión de cualquiera de los signos más le mostrará el conjunto específico de «conversaciones» que el monitor de red puede haber capturado y agrupado en un proceso.

Filtrado de tráfico

Descubrirá rápidamente que con todos estos datos ingresando, necesitará filtrar el ruido más fácilmente. Un ejemplo de uso de un filtro es el DnsAllNameQuery, en la sección DNS de Filtros estándar. Al agregar esta fila a la sección de filtro de vista y hacer clic en Aplicar, podrá ver solo los paquetes que son consultas de DNS, como se muestra a continuación.

Ver el filtro DnsAllNameQuery

Filtros de construcción

Crear filtros o editar filtros integrados es muy simple. Dentro del campo Filtro de vista, hay varias formas de crear filtros. Ingresando un nombre de protocolo y siguiéndolo con un . (punto), verá un autocompletado de posibles valores de campo para comparar. Usando el operador de comparación estándar de == podemos ver si ciertos valores son iguales. Incluso podemos crear multi-expresiones usando operadores lógicos como and es or. A continuación se muestra un ejemplo de cómo se ve.

DNS.QuestionCount AND
DNS.ARecord.TimeToLive == 14

También hay algunos métodos que están disponibles, como contains() es UINT8(). Puede ver el uso del método contiene a continuación para filtrar solo los registros DNS que contienen [google.com](http://google.com) y un tiempo para vivir de 14.

DNS.QuestionCount AND
DNS.ARecord.TimeToLive == 14 AND
DNS.QRecord.QuestionName.contains("google.com")

Como puede ver, hay varias formas de combinar filtros para que sean útiles y convenientes de usar. Esta es una excelente manera de devolver solo los datos que le interesan, especialmente porque la captura de paquetes puede ser bastante grande. En la siguiente sección, veremos algunos ejemplos más útiles.

Filtros de ejemplo

Algunos ejemplos prácticos, además de los predefinidos integrados, son de gran ayuda para ayudarlo a comprender cómo obtener solo los datos útiles que necesita.

Filtrado por número de puerto

Aunque puede utilizar el protocolo HTTP para filtrar, el uso del siguiente método le permite contabilizar puertos personalizados, como 8080 o 8443, que es especialmente útil para solucionar problemas.

// Filter by TCP Port Number
tcp.port == 80 OR Payloadheader.LowerProtocol.port == 80
tcp.port == 443 OR Payloadheader.LowerProtocol.port == 443

Los fotogramas TCP que se han fragmentado se vuelven a ensamblar y se insertan en un nuevo fotograma en la pista que contiene un encabezado con nombre especial, Payloadheader. Al buscar ambos, podemos asegurarnos de que obtenemos todos los datos que estamos buscando aquí.

Encuentra marcos de negociación SSL

Al solucionar problemas, es posible que deba comprender qué conexiones SSL está intentando negociar. Si bien es posible que no pueda descifrar el tráfico interno, esto lo ayudará a encontrar qué servidores están intentando usar la conexión.

// Filter by SSL Handshake
TLS.TlsRecLayer.TlsRecordLayer.SSLHandshake.HandShake.HandShakeType == 0x1

Encuentra retransmisiones TCP y retransmisiones SYN

Para solucionar problemas de carga y descarga de archivos, puede verificar muchas retransmisiones que podrían afectar el rendimiento.

Property.TCPRetransmit == 1 || Property.TCPSynRetransmit == 1

Asegúrese de tener conversaciones activas, este filtro depende de esa función.

Lectura de marcos y datos hexadecimales.

De forma predeterminada, el diseño de la ventana tiene dos paneles inferiores dedicados a Detalles del marco y Detalles hexadecimales. Dentro de los detalles del marco, cada paquete se divide en sus partes componentes. En el lado opuesto están los detalles hexadecimales que son los bytes sin procesar y la decodificación. Cuando selecciona una sección diferente dentro de los detalles del marco, también se resaltará la misma sección dentro del código hexadecimal.

Ver detalles del marco y datos hexadecimales sin procesar

Conclusión

Ejecutar seguimientos de red es muy fácil con la última versión de Windows. Aunque Microsoft ha decidido descontinuar o desaprobar sus propias herramientas internas, algunas continúan prosperando. Hay muchos otros, como WireShark, pero Microsoft Network Monitor todavía hace que sea bastante fácil analizar y comprender la información de paquetes capturada.

TE INTERESA>>  China cuts key interest rates as economy falters in July – The China Project

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Botón volver arriba