Erfassen des Netzwerkverkehrs mit Microsoft Network Monitor
Microsoft Network Monitor ist ein veraltetes Tool zur Erfassung des Netzwerkverkehrs und zur Paketanalyse. Es ermöglicht das Erfassen, Anzeigen und Analysieren von Netzwerkdaten und das Entschlüsseln von Netzwerkprotokollen. Es ermöglicht die Fehlersuche bei Netzwerkproblemen und Anwendungen im Netzwerk.
Öffnen Sie “Microsoft Network Monitor 3.4” und laufen als “administrator”
Wählen Sie das Ethernet aus, das Sie erfassen möchten, indem Sie es ankreuzen. Wenn Sie mehrere Netze haben, wählen Sie nicht alle Netze aus. Wählen Sie nur die Netze aus, von denen Sie den Netzwerkverkehr erfassen wollen.
Erste Schritte Erfassen des Netzwerkverkehrs
Um den Netzwerkverkehr zu erfassen, klicken Sie auf die Schaltfläche „New Capture“ und dann auf die Schaltfläche „Start“.
Im Abschnitt „Frame Summary“ sehen Sie den Datenverkehr über das von Ihnen aufgezeichnete Ethernet-Netzwerk.
Um sich mehr auf die Analyse des Netzwerks zu konzentrieren, können Sie Filter hinzufügen. Sie können den Netzwerkverkehr nach laufenden Anwendungen, Ziel, Portnummer usw. filtern. Die Vorgehensweise und Beispiele finden Sie am Ende dieses Artikels.
Filtern Sie nach einer Adresse in beiden Richtungen, Quelle oder Ziel.
IPv4.Address==192.168.1.1
IPv4.SourceAddress
Stellt die Quelladresse dar und ist nützlich, um den Verkehr von einer bestimmten Quelle zu filtern.
IPv4.SourceAddress==192.168.1.1
IPv4.DestinationAddress
Stellt die Zieladresse dar und ist nützlich für die Filterung des Verkehrs zu einem bestimmten Ziel.
IPv4.DestinationAddress==192.168.2.2
IPv4.PayloadLength
Die gesamte Länge der IP-Nutzdaten.
IPv4.PayloadLength == 0
Destination
Enthält die Quelladresse des obersten Protokolls. Wenn also IPv4 das letzte Protokoll mit einer Adresse ist, enthält property. Destination die String-Darstellung dieser Adresse enthalten. Dies ist dieselbe Eigenschaft, mit der auch die Spalte Quelle in der Benutzeroberfläche gefüllt wird.
Der mit dem aktuellen Frame verbundene Prozess. Dieser wird erfasst, wenn Network Monitor 3.4 zur Erfassung eines Traces verwendet wird. Wenn Sie NMCAP verwenden, müssen Sie die Option /CaptureProcesses hinzufügen.
ProcessName.Contains(„iexpl“)
ProcessID
Die Prozess-ID, die mit dem aktuellen Frame verbunden ist. Diese wird erfasst, wenn Network Monitor 3.4 zur Erfassung einer Ablaufverfolgung verwendet wird. Wenn Sie NMCAP verwenden, müssen Sie die Option /CaptureProcesses hinzufügen.
ProcessID == 1234
Netzwerk-Monitor Drahtlos-Filterung
Feld/ Eigenschaft
Beschreibung
Beispiel
Wifi.Address
Filtern Sie nach einer Adresse in beiden Richtungen, Quelle oder Ziel.
Ethernet.Address==0x123456AABBCC
wifi.Management.SA
Stellt die Quelladresse dar und ist nützlich, um den Verkehr von einer bestimmten Quelle zu filtern.
wifi.Management.sA==0x123456AABBCC
wifi.Management.DA
Stellt die Zieladresse dar und ist nützlich für die Filterung des Verkehrs zu einem bestimmten Ziel.
wifi.Management.DA==0x123456AABBCC
WiFi.MetaData.PhyType
Der Wert Physical Layer Type. Jeder Wert steht für eine andere Schicht. Diese sind in der Tabelle WiFiPhyType in wireless.npl beschrieben. 4=a, 5=b, 6=g, und 7=n.
WiFi.MetaData.PhyType == 0x6
property.WiFiDestination
Enthält die Quelladresse der meisten Protokolle. Wenn also Wi-Fi das letzte Protokoll mit einer Adresse ist, enthält property. Destination die String-Darstellung dieser Adresse enthalten. Dies ist dieselbe Eigenschaft, die zum Auffüllen der Spalte Quelle in der Benutzeroberfläche verwendet wird.
WiFiDestination == 0xFFFFFFFFFFFF
property.WifiChannel
Drahtloser Kanal
property.WifiChannel==14
property.WiFiSource
Ähnlich wie Reiseziel
WiFiSource == 0xFFFFFFFFFFFF
Destination
Enthält die Quelladresse der meisten Protokolle. Wenn also Wi-Fi das letzte Protokoll mit einer Adresse ist, enthält property. Destination die String-Darstellung dieser Adresse enthalten. Dies ist dieselbe Eigenschaft, die zum Auffüllen der Spalte Quelle in der Benutzeroberfläche verwendet wird.
