Το Microsoft Network Monitor ή αλλιώς NetMon είναι ένα δωρεάν εργαλείο διάγνωσης δικτύου για Windows που χρησιμοποιείται για την καταγραφή και ανάλυση όλης της εισερχόμενης και εξερχόμενης κίνησης σε έναν υπολογιστή.
Παρόλο που αυτό το προϊόν δεν έχει αναπτυχθεί ή ενημερωθεί για περισσότερα από 3 χρόνια, χρησιμοποιείται συχνά από τους διαχειριστές όταν χρειάζεται να διαγνώσουν τις συνδέσεις ενός δικτύου.
Το NetMon προσφέρει λιγότερες δυνατότητες από το δημοφιλές εργαλείο καταγραφής και ανάλυσης WireShark και δεν είναι τόσο καλό σε πολύπλοκες εργασίες ανάλυσης πακέτων.
Ωστόσο, η γραφική διεπαφή του Network Monitor είναι πολύ απλούστερη και πιο διαισθητική και το ίδιο το προϊόν είναι ελαφρύ. Άρα η χρήση του είναι δικαιολογημένη και πρακτική σε ορισμένες συνθήκες.
Μπορείτε να κάνετε λήψη του δωρεάν προγράμματος Microsoft Network Monitor 3.4 (NM34_x64.exe) από τον ιστότοπο της Microsoft ή εγκαταστήστε το χρησιμοποιώντας τη διαχείριση πακέτων WinGet με την εντολή από το Command prompt: winget install Microsoft.NetMon
Πως να εργαστείτε με το Network Monitor
Καταρχήν τρέξτε το Network Monitor ως διαχειριστής. Στο αρχικό παράθυρο του NetMon, κάντε κλικ στο New Capture.
Από προεπιλογή, το Network Monitor συλλέγει όλη την κίνηση που διέρχεται από τις διεπαφές δικτύου ενός υπολογιστή. Το μέγεθος μιας τέτοιας ένδειξης δικτύου μπορεί να είναι σημαντικό εάν καταγράφετε κίνηση δικτύου για μεγάλο χρονικό διάστημα. Φυσικά μπορείτε να ορίσετε φίλτρα ώστε να καταγράφουν μόνο μέρος της κίνησης είτε εισερχόμενης είτε εξερχόμενης.
Φίλτρα
Πριν πατήσετε το κουμπί “Start”, όπως σας προτείνει το πρόγραμμα, μπορείτε να ρυθμίσετε ένα φίλτρο. Για αυτό κάντε κλικ στο κουμπί “Carture settings” (Ρυθμίσεις λήψης).
Εδώ μπορείτε να διαμορφώσετε φίλτρα της κίνησης που θα συλλέγει το NetMon. Υπάρχουν πολλά πρότυπα φίλτρων για τυπικές εργασίες στο μενού Load filter > Standard filters (Φόρτωση φίλτρου > Τυπικά φίλτρα).
Για παράδειγμα, αν ρυθμίσετε Load filter > Standard filters > TCP > TCP ports το πρόγραμμα θα εισαγάγει ως φίλτρο το:
// Filter frames by TCP port number.
tcp.port == 80
OR
Payloadheader.LowerProtocol.port == 80
// Filter finds all TCP traffic on port 80. This
// also includes reassembled port data since for
// reassembled frames the TCP Transport layer is
// replaced.
Μπορείτε να αλλάξετε την πόρτα 80 με όποια θέλετε ή και με περισσότερες γράφοντας ξανά από κάτω το tcp.port == και βάζοντας μία άλλη πόρτα.
Επίσης μπορείτε να προσθέσετε από κάτω και την εντολή AND βάζοντας και ένα δεύτερο όρο στην αναζήτησή σας, ας πούμε για παράδειγμα ότι θέλουμε την κίνηση στον πόρτα 80 και από την συσκευή με IP 192.168.1.10
AND
IPv4.SourceAddress == 192.168.1.10
Τα φίλτρα παρακολούθησης δικτύου μπορούν να συνδυαστούν χρησιμοποιώντας αγκύλες καθώς και τις λογικές εκφράσεις OR, AND, NOT ή μπορείτε να χρησιμοποιήσετε αντίστοιχα τα ||, &&, και !
Κάντε κλικ στο κουμπί Apply” (Εφαρμογή) για να αποθηκεύσετε το φίλτρο.
Εκκίνηση καταγραφής
Στη συνέχεια, μεταβείτε στα Tools > Options > Parser profiles (Εργαλεία > Επιλογές > Προφίλ ανάλυσης). Επιλέξτε Windows και κάντε κλικ στο κουμπί “Set as active” (Ορισμός ως ενεργό) και μετά κάντε κλικ στο κουμπί OK.
Είστε πλέον έτοιμοι να αρχίσετε να καταγράφετε κίνηση δικτύου. Κάντε κλικ στο κουμπί “Start” (Έναρξη) στη γραμμή εργαλείων.
Τώρα αφήστε το NetMon να εκτελείται για μια μέρα ή περισσότερο μέχρι να μαζέψει μία καλή λίστα με κινήσεις. Ανάλογα με το πρόβλημα που έχετε και αν αυτό δημιουργείτε τυχαία ίσως να χρειαστεί παραπάνω χρόνος.
Σημειώστε ότι, ανάλογα με τις ρυθμίσεις του φίλτρου λήψης, η λήψη της κίνησης δικτύου για μεγάλο χρονικό διάστημα θα απαιτήσει σημαντική ποσότητα μνήμης RAM και χώρο στο δίσκο.
Εργαστείτε με τα αποτελέσματα
Το πεδίο “Network conversations” (Συνομιλίες δικτύου) που βρίσκεται αριστερά, καθώς και το “Process Name” (Όνομα διεργασίας) που υπάρχει στο δεξί πίνακα στην μέση, εμφανίζει το όνομα της διαδικασίας που ξεκίνησε μία σύνδεση δικτύου.
Αν και σε μάς αναφέρει Unvaliable, αν το αφήσετε να δουλέψει για λίγο διάστημα θα δείτε παρακάτω να γράφει το όνομα του κάθε προγράμματός που βγαίνει στο διαδίκτυο.
Κάντε κλικ στο κουμπί “Stop” (Διακοπή) για να σταματήσετε να καταγράφετε κίνηση δικτύου. Η λίστα που καταγράψατε μπορεί να αποθηκευτεί ως αρχείο *.CAP για ανάλυση εκτός σύνδεσης.
