Network Monitor è un prodotto software che Microsoft mette a disposizione gratuitamente per poter analizzare a basso livello tutto ciò che accade sulla rete. Network Monitor è a tutti gli effetti un analizzatore di protocollo: si tratta di uno strumento progettato appositamente per catturare, registrare, visualizzare, decodificare Frames che viaggiano sulla rete. Questo strumento viene anche chiamato “packet captures” o “packet sniffers”, indicando così che serve per catturare i pacchetti IP anche se, in realtà, vengono catturati Frames di secondo livello, mentre i pacchetti notoriamente sono di terzo livello. Questo strumento, una volta catturati i Frames, li analizza in profondità decodificandoli e dissezionandoli. Fatto questo, è capace di mostrare il traffico di rete in una configurazione che sia leggibile e comprensibile dagli utenti. In questo modo sarà possibile comprendere ciò che sta accadendo sulla rete.
Requisiti di sistema
I sistemi operativi che lo supportano sono:
- Windows 7
- Windows 8
- Windows Server 2003 Service Pack 2
- Windows Server 2003 Service Pack 2 x64 Edition
- Windows Server 2008
- Windows Server 2008 R2
- Windows Server 2008 R2 for Itanium-based Systems
- Windows Server 2012
- Windows Vista 64-bit Editions Service Pack 1
- Windows Vista Service Pack 1
- Windows XP 64-bit, Windows XP Service Pack 3
Dal punto di vista hardware invece:
- 1 GHz or greater CPU
- 1 GB or greater memory
- 60 MB free hard disk space plus extra room for capture files
Come eseguire una scansione della rete
- Eseguire il programma NetMon scegliendo l’opzione Esegui come amministratore
- Selezionare la scheda di rete sulla quale si vuole acquisire il traffico quindi fare clic su Nuova Acquisizione (New Capture) e poi su Avvia (Start)
- Sul display si vedranno tutti i pacchetti che Network Monitor sta catturando. Ogni pacchetto verrà identificato da varie informazioni come il nome del processo, la sorgente, la destinazione e il protocollo
- Dopo che avrà trovato abbastanza pacchetti, potremo selezionare Interrompi e passare a File > Salva con come in modo da salvare i risultati in un file con estensione .Cap (di default)
In questo modo siamo riusciti a catturare il traffico che viaggia verso e dalle schede di rete selezionate.
I filtri
Attraverso i filtri viene data la possibilità di decidere di analizzare solo una particolare categoria di pacchetti. Per esempio se non vogliamo analizzare tutti i pacchetti che vengono scambiati nella rete possiamo decidere di catturare solo quelli in cui la porta TCP sorgente è la 80 andando a settare
Tcp.SrcPort == 80
Quando, dopo “Tcp” aggiungiamo il “.”, il programma ci viene in nostro aiuto e ci mostra una serie di dati che possiamo inserire. Se, come nell’esempio citato sopra, scriviamo un protocollo o un’altra struttura e ci aggiungiamo il punto, possiamo scegliere fra una serie di altri parametri, che ci vengono forniti dal programma, per scendere al secondo livello ed effettuare un filtraggio ancora più specifico.
Vediamo ora alcuni esempi di filtri:
- ARP: applicando questo filtro, tutti i pacchetti che utilizzano il protocollo ARP.
- NOT ARP (o !ARP): filtro opposto a quello precedente quindi cattura tutto il traffico che non utilizza il protocollo ARP
- TCPOptions.Option.Sack: verranno visualizzati tutti i frames dove il parametro SACK (Selective Acknowledgments) è presente
- Port == 5555: in questo caso viene catturato tutto il traffico su una porta specifica. Se non specifichiamo se si tratta della porta di sorgente o destinazione il 5555 indica entrambe
- SrcPort == 5555 OR Tcp.DstPort == 5555: in questo modo specifichiamo le due porte
- Address == 192.168.1.1
- Address==0x1185AE4E95
Oltre a quelli appena visti sono presenti molti altri filtri per “scartare” informazioni superflue o non necessarie
Nexsys è in grado di analizzare lo stato della tua rete e darti evidenza di eventuali colli di bottiglia o capire se è in corso nella tua rete un’infezione. Contattaci per una consulenza gratuita o se sei interessato a corsi di formazione che ti permetteranno di ampliare le tue conoscenza e rimanere sempre aggiornato su prodotti e tecnologie per aziende e privati, consulta le nostre pagine di corsi di formazione