Microsoft stellt ein kostenloses Profi-Tool bereit, mit dem Sie den Internet- und Netzwerkverkehr Ihres Windowsystems aufzeichnen und analysieren können: Den Sniffer
Microsoft Network Monitor.
Das leistet der Microsoft Network MonitorIhren Internetverbindung setzt gelegentlich aus? Sie haben Probleme in Ihrem Netzwerk, bestimmte Rechner erhalten keine Daten oder reagieren nur langsam? Sie habend das Gefühl, dass im Hintergrund zwischen Ihrem PC/Netzwerk und dem Internet Daten ausgetauscht werden ohne dass Sie wissen, warum und was für Daten das sind? Dann ist ein Netzwerkananalysetools wie ein Sniffer das Mittel der Wahl für Sie. Der Klassiker unter den Netzwerksniffern ist das kostenlose Wireshark. Doch auch von Microsoft gibt es ein leistungsfähiges, übersichtliches und zudem kostenloses Werkzeug, das auch in Unternehmen und für den professionellen Einsatz lizenzgebührenfrei verwendet werden darf.
Mit dem englischsprachigen Microsoft Network Monitor (Netmon) können Sie sowohl den ein- als auch ausgehenden Internetverkehr Ihres PCs aufzeichnen, anzeigen und analysieren. Die Datenpakete lassen sich nach verschiedenen Kriterien sortieren - dafür stehen verschiedene Filter zur Verfügung. Wenn Sie sich also beispielsweise nur für Mailtraffic interessieren, dann können Sie gezielt danach suchen, indem Sie nach dem relevanten Protokoll oder Port filtern.
Network Monitor läuft auf Rechnern mit Windows XP, Vista SP2, Windows Server 2008 und Windows 7 (32-Bit und 64-Bit). Der Download steht im Microsoft-Downloadcenter in verschiedenen Versionen für verschiedene Prozessorplattformen bereit und ist zwischen 5 und 6,2 MB groß. Falls Sie nicht diesen Direktlink verwenden sondern über die Suchfunktion im Downloadcenter von Microsoft gehen, dann müssen Sie zuvor die Ansicht von englischsprachigen Tools einschalten.
Übrigens: Netmon war/ist seit Windows 2000 fester Bestandteil der Server-Betriebssysteme von Microsoft. Es gibt diesen Netzwerksniffer aber seit Version Network Monitor 3 auch als separaten Download mit erweitertem Funktionsumfang.Hinweis: Am Ende dieses Artikels haben wir Ihnen noch eine Screenshot-Galerie angehängt, damit Sie sich bequem einen ersten optischen Eindruck von diesem interessanten Microsoft-Programm verschaffen können.
Einfache Installation von Network MonitorNach dem Start der EXE-Datei erfolgt die zweistufige Installation. Zunächst wird der Netzwerktreiber (Microsoft Network Monitor 3 Driver) installiert, der an der Netzwerkkarte die Datenpakete einsammelt. So einen Treiber benötigt jeder Netzwerksniffer, Wireshark benutzt beispielsweise Windows Packet Capture (WinPcap) um den Netzwerk-Traffic an den Netzwerkschnittstellen mitzuschneiden. Danach wird die eigentliche Programmoberfläche aufgespielt, mit der Sie die Pakete mitschneiden und die Mitschnitte analysieren können. Bei der Installation können Sie zwischen verschiedenen Varianten wählen.
Nach dem Programmstart lädt Netmon die Parserdateien, was einige Sekunden beansprucht. Danach können Sie Network Monitor verwenden.
Microsoft stellt zudem einige kostenlose Erweiterungen für Network Monitor zur Verfügung. Sie finden Sie unter der Bezeichnung
"Network Monitor Experts". Mit Experts Simple Search können Sie zum Beispiel innerhalb der Frames und deren Kommentaren im Network Monitor nach bestimmten Ascii-Zeichenfolgen suchen. Dabei werden auch Regular Expressions unterstützt. Die Erweiterung Top User wiederum ermittelt die größten Traffic-Verursacher. Mit dem ebenfalls zur Verfügung gestellten Expert SDK und der Network Monitor API können Sie mit .net-Sprachen und Visual Studio eigene Experts-Erweiterungen programmieren.
So funktioniert Network MonitorDie Oberfläche von Network Monitor sieht standardmäßig folgendermaßen aus: In der Mitte rechts das Fenster Frame Summary mit der Übersicht über alle mitgeschnittenen Traffic-Frames. Zu jedem dieser Mitschnitte gibt es eine laufende Nummer, Zeitangabe, die Angaben des Prozesses (also der Anwendung), zu dem der Frame gehört, Protokollname, Quell- und Ziel-IP-Adresse und weitere Details wie Request oder Response – sprich: ob Sie eine Anfrage gestellt oder eine Antwort erhalten haben.
Darunter links befindet sich das Fenster Frame Details mit Detailanangaben zu dem ausgewählten Frame. Wenn Sie mit der rechten Maustaste in das Frame Details-Window klicken und "Go To Data Field Definition" oder "Go To Data Type Definition" wählen, bekommen Sie den Code aus den NPL Parsern angezeigt. Ebenso lässt sich per rechten Mausklick ruckzuck ein Filter auf der Basis eines Detailwerts definieren.
Damit Sie unter Frame Details auch wirklich soviele Informationen bekommen, ist eine passender Parserdatei für das jeweilige Protokoll erforderlich. Für alle gängigen Protokolle existieren derartige Parserdateien, man könnte sie aber auch selbst programmieren. Für mehr als 300 Netzwerkprotokolle sind passende Analysemodule dabei. Rechts von Frame Details befinden sich die Hex Details, also der Inhalt des ausgewählten Frames als Hexadezimalcode und als Ascii.
Oberhalb von Frame Summary ist das Fenster für die Filtersteuerung. Sie können hier unter den angebotenen Filtern wählen oder von Hand einen selbst definierten eingeben, zum Beispiel IPv4SourceAdress == 217.111.81.80 oder TCP.Port == 8010. Der mitgeschnittene Traffic lässt sich beispielsweise nach Programmnamen oder nach Prozess-ID filtern.
Links von diesen Fenstern finden Sie das Übersichtfenster für die Network Conversations. Hier treffen Sie die Entscheidung, ob der gesamte an Ihren Netzwerkschnittstellen eintreffende Verkehr oder nur er für Ihren Rechner bestimmte Traffic erfasst werden soll. Wenn Sie sich für letzteres entscheiden, reduziert sich der Mitschnitt deutlich und Sie bekommen tatsächlich nur die für Ihren PC bestimmten Pakete. So blendet Network Monitor zum Beispiel andere Broadcast-Pakete beispielsweise vom ARP- oder DHCP-Protokoll aus. Denn im Internet schwirren ständig Pakete herum, die für die Grundfunktionalität des Internets unverzichtbar sind, Sie aber für eine konkrete Analyse oft nicht interessieren werden.
Ihr als „My Traffic“ bezeichneter Verkehr wird von Network Monitor zudem übersichtlich nach den einzelnen Anwendungen wie Browser oder Instant Messenger aufgegliedert. Wenn Sie also nur der Traffic interessiert, der beispielsweise mit dem Instant Messenger Pidgin entsteht, dann wählen Sie einfach diesen Eintrag aus. Aufgepasst: Damit hier auch tatsächlich der gesamte Traffic zur Auswahl steht, darf kein Filter gewählt sein. Denn nur der vom Filter erfasste Traffic wird hier aufgelistet.Zu jedem Eintrag (als Frame bezeichnet und durchnummeriert) können Sie kommentare abspeichern. Über den Button "Autoscroll" können Sie sich den jeweils jüngsten Traffic anzeigen lassen.
So starten Sie die Aufzeichnung mit Network MonitorStarten Sie Network Monitor mit Administratorenrechten (unter Vista rechter Mausklick auf das Desktop-Icon und „Als Administrator ausführen“ wählen). Dann werden einige wenige Sekunden lang die Parserdateien geladen. Vergewissern Sie sich im Fenster „Select Networks“ links unten, dass alle für Sie relevanten Netzwerk-Schnittstellen erfasst sind, gegebenenfalls können Sie die Auswahl ändern. Klicken Sie dann auf „New Capture Tab“ um zu dem vorhin beschriebenen Mitschnittfenster zu gelangen. Alternativ können Sie auch auch ein Capture File öffnen – also eine Datei, in der Sie einen früheren Mitschnitt gespeichert haben. Sie können nämlich alle Mitschnitte abspeichern und so zu einem späteren Zeitpunkt darauf zugreifen.
Klicken Sie dann auf „Start“ um mit dem Mitschnitt zu beginnen. Auch wenn Sie nicht surfen, werden nach wenigen Sekunden die ersten Einträge im Fenster Frame Summary erscheinen, sofern Ihr PC mit dem Internet verbunden ist. Es gibt nämlich eine Reihe von Internet-Protokollen, die im Hintergrund und von Ihnen unbemerkt ihre Arbeit verrichten und die für die Internetkommunikation erforderlichen Daten austauschen. Beispielsweise müssen die MAC-Adresse erfragt werden, mit denen jede Netzwerkkarte eindeutig identifiziert werden kann. Wenn Sie bestimmte Internetanwendungen im Autostartordner haben, nehmen diese ebenfalls Verbindung mit ihren Servern auf, beispielsweise der Instant Messenger. Somit sehen Sie dann im Network Monitor auf dem ersten Blick, welche Anwendung alles Daten ins Internet schickt oder von dort empfängt ohne dass Sie selbst überhaupt aktiv geworden sind. Erst mit einem Netzwerksniffer sehen Sie das überhaupt.
Die richtige Filterwahl Öffnen Sie dann Ihren Browser und surfen Sie etwas herum. Sie werden nun unter Network Conversations auch einen Eintrag für den Browser und dessen Traffic finden. Wenn Sie nur bestimmter Traffic interessiert, definieren Sie passende Filter beziehungsweise benutzen die bereits vorhandenen. Dabei haben Sie die Wahl: Filtern Sie bereits beim Mitschnitt (Capture Filter) oder erst bei der Ansicht (Display Filter). Pakete, die nicht dem Filter entsprechen, werden bei Capture Filter nicht aufgezeichnet. Display Filter filtert dagegen aus allen aufgezeichneten Daten die gewünschten Pakete heraus und zeigt diese an. Mit Color Filter können Sie zudem die Frames farblich definieren.
Tipp: Wenn Sie einen Standardfilter auswählen, dann schauen Sie sich dessen Syntax im Fenster von Capture/Display Filter an. Sie verstehen dann bald den Aufbau einer Filtereinstellung und können diese selbst eintippen.
Wenn Sie den Filter ausgewählt oder definiert haben, drücken Sie Apply und starten danach den Mitschnitt neu, falls er nicht mehr läuft. Alle benutzten Filter werden in einer History erfasst und lassen sich so bequem erneut einsetzen. Von Hand eingegebene Filter können Sie mit Verify auf korrekte Syntax checken lassen.Tipp: Drücken Sie den Button Autoscroll um immer die aktuellsten Frames im Blick zu haben. Wenn Sie genügend Material haben, stoppen Sie den Mitschnitt und machen sich an die Analyse. Suchen Sie sich also die Mitschnitte heraus, die Sie interessieren und betrachten Sie deren Detailinformationen.Sie werden bei der Analyse ihres Netzwerkverkehrs feststellen, dass etliche im Verborgenen ablaufende Schritte erforderlich sind, bis Sie beispielsweise mit dem Browser die gewünschte Seite aufrufen können. Ihr PC muss beispielsweise erst die IP-Adresse des zuständigen DNS-Servers ermitteln, der für die Auflösung eines Domainnamens in eine IP-Adresse zuständig ist. Um den DNS-Server zu erreichen, muss aber zuvor via ARP-Protokoll (Address Resolution Protocol) dessen MAC-Adresse ermittelt werden. Hat der DNS-Server dann die IP-Adresse des Webservers, dessen Website Sie im Browser öffnen wollen, ermittelt, muss er danach die MAC-Adresse dieses Servers erfragen. Und all das geht ja nicht direkt von Ihrem Rechner zum DNS-Server, sondern erfolgt über Router und Gateways hinweg. Es kommt also einiges an Daten zusammen, bis Sie endlich die gewünschte Seite in Ihrem Browser sehen.Alle Mitschnitte können Sie als Datei abspeichern. Damit Sie von Network Monitor aber wirklich profitieren, sind grundlegende Kenntnisse der Internet-Protokolle unabdingbar.
Quelle :
www.pcwelt.de
