Microsoft Network Monitor est un outil obsolète de capture du trafic réseau et d’analyse des paquets. Il permet de capturer, de visualiser et d’analyser les données du réseau et de déchiffrer les protocoles du réseau. Il peut dépanner les problèmes de réseau et les applications sur le réseau.
Comment utiliser Network Monitor
- Télécharger Microsoft Network Monitor
- Effectuez l’installation à l’aide du fichier téléchargé.
- Ouvrez « Microsoft Network Monitor 3.4″ et exécutez en tant qu' »administrateur ».
- Sélectionnez l’ethernet que vous souhaitez capturer en le cochant. Si vous avez plusieurs ethernets, ne sélectionnez pas tous les ethernets. Choisissez uniquement les ethernets dont vous souhaitez capturer le trafic réseau.
Mise en route Capturer le trafic réseau
- Pour capturer le trafic réseau, cliquez sur le bouton « New Capture » puis sur le bouton « Start ».
- Vous verrez le trafic à travers le réseau Ethernet que vous avez capturé dans la section « Frame Summary ».
- Pour vous concentrer davantage sur l’analyse du réseau, vous pouvez ajouter des filtres. Vous pouvez filtrer le trafic réseau en fonction des applications en cours d’exécution, de la destination, du numéro de port, etc. Pour savoir comment écrire et avoir des exemples, vous pouvez consulter la fin de cet article.
Filtrage des moniteurs de réseau
Network Monitor Filtrage IPv4
| Domaine/ Propriété | Description | Exemple |
| IPv4.Address | Filtre sur une adresse dans les deux sens, source ou destination. | IPv4.Address==192.168.1.1 |
| IPv4.SourceAddress | Représente l’adresse source et est utile pour filtrer le trafic provenant d’une source spécifique. | IPv4.SourceAddress==192.168.1.1 |
| IPv4.DestinationAddress | Représente l’adresse de destination et est utile pour filtrer le trafic vers une destination spécifique. | IPv4.DestinationAddress==192.168.2.2 |
| IPv4.PayloadLength | La longueur totale de la charge utile IP. | IPv4.PayloadLength == 0 |
| Destination | Contient l’adresse source du protocole le plus élevé. Ainsi, si IPv4 est le dernier protocole disposant d’une adresse, property. Destination contiendra la représentation sous forme de chaîne de cette adresse. Il s’agit de la même propriété que celle utilisée pour remplir la colonne Source dans l’interface utilisateur. | Destination== »192.168.2.2″ |
| Source | Similaire à Destination | Source.Contains(« 192. ») |
| IPPayloadLength | Représente la taille de la charge utile IP en octets. | IPPayloadLength > 1000 |
Network Monitor Conversation Filtering
| Domaine/ Propriété | Description | Exemple |
| ProcessName | Le processus associé à la trame actuelle. Cette information est collectée lorsque Network Monitor 3.4 est utilisé pour capturer une trace. Si vous utilisez NMCAP, vous devez ajouter l’option /CaptureProcesses. | ProcessName.Contains(« iexpl ») |
| ProcessID | L’ID du processus associé à la trame actuelle. Cette information est collectée lorsque Network Monitor 3.4 est utilisé pour capturer une trace. Si vous utilisez NMCAP, vous devez ajouter l’option /CaptureProcesses. | ProcessID == 1234 |
Moniteur de réseau Filtrage sans fil
| Domaine/ Propriété | Description | Exemple |
| Wifi.Address | Filtre sur une adresse dans les deux sens, source ou destination. | Ethernet.Address==0x123456AABBCC |
| wifi.Management.SA | Représente l’adresse source et est utile pour filtrer le trafic provenant d’une source spécifique. | wifi.Management.sA==0x123456AABBCC |
| wifi.Management.DA | Représente l’adresse de destination et est utile pour filtrer le trafic vers une destination spécifique. | wifi.Management.DA==0x123456AABBCC |
| WiFi.MetaData.PhyType | La valeur du type de couche physique. Chaque valeur représente une couche différente. Elles sont décrites dans le tableau WiFiPhyType du fichier wireless.npl. 4=a, 5=b, 6=g, et 7=n. | WiFi.MetaData.PhyType == 0x6 |
| property.WiFiDestination | Contient l’adresse source des protocoles les plus importants. Ainsi, si Wi-Fi est le dernier protocole avec une adresse, property. Destination contiendra la représentation sous forme de chaîne de cette adresse. Il s’agit de la même propriété que celle utilisée pour remplir la colonne Source dans l’interface utilisateur. | WiFiDestination == 0xFFFFFFFFFFFF |
| property.WifiChannel | Canal sans fil | property.WifiChannel==14 |
| property.WiFiSource | Similaire à Destination | WiFiSource == 0xFFFFFFFFFFFF |
| Destination | Contient l’adresse source des protocoles les plus importants. Ainsi, si Wi-Fi est le dernier protocole avec une adresse, property. Destination contiendra la représentation sous forme de chaîne de cette adresse. Il s’agit de la même propriété que celle utilisée pour remplir la colonne Source dans l’interface utilisateur. | Destination.Contains(« 123456 ») |
| Source | Similaire à Destination | Source.Contains(« 123456 ») |
Autres articles intéressants
Moniteur réseau Filtrage TCP
| Domaine/ Propriété | Description | Exemple |
| TCP.Port | Filtre sur le port source ou de destination. Utilisé pour trouver le trafic basé sur le port, qui est souvent associé à une application. | TCP.Port==80 |
| TCP.Flags.Reset | Peut tester et voir si le drapeau de réinitialisation est activé. | TCP.Flags.Reset==1 |
| TCP.Window | Taille de la fenêtre de la trame TCP actuelle, mais sans tenir compte du facteur d’échelle. Voir Property.TCPWindowSize ci-dessous. | TCP.Window == 0 |
| TCPRetransmit | Propriété définie lorsqu’une retransmission TCP est détectée. Les retransmissions indiquent un problème d’infrastructure et de congestion du réseau. | Property.TCPRetransmit == 1 |
| TCPPayloadLength | Représente la taille de la charge utile TCP. | TCPPayloadLength == 0 |
| TCPCheckSumStatus | Il s’agit d’une chaîne de caractères qui indique si la somme de contrôle est valide ou non. Elle peut être « Bonne » ou « Mauvaise ». | TCPCheckSumStatus != « Good » |
| TCPDescription | Propriété permettant d’afficher la description TCP de la trame en cours, par opposition à la description du protocole le plus élevé. Cette propriété est utile en tant que colonne de résumé de trame. Vous pouvez également l’utiliser pour rechercher des trames retransmises spécifiques en recherchant le texte dans le résumé TCP, comme le montre l’exemple. | TCPDescription.Contains(« #472 ») |
| TCPAckNumber | Numéro d’accusé de réception de la trame en cours | TCPAckNumber==1234 |
| TCPSeqNumber | Numéro de séquence de la trame actuelle | TCPSeqNumber==1234 |
| TCPSeqeunceRange | La plage de séquences TCP, sous forme de chaîne, qui va du numéro de séquence actuel au numéro de séquence actuel plus la longueur de la charge utile TCP. | TCPSequenceRange.Contains(« 1234 ») |
| TCPShortAckNumber | Une représentation WORD du numéro Ack pour faciliter la comparaison et la mémorisation. | TCPShortAckNumber==1000 |
| TCPShortSeqNumber | Une représentation WORD du numéro Seq pour faciliter la comparaison et la mémorisation. | TCPShortSeqNumber==1000 |
| TCPFlags | Une représentation sous forme de chaîne des différents drapeaux TCP pour la trame : CWR, ECE, Urgent, Ack, Push, Reset, Syn, Fin. | TCPFlags.Contains(« R ») |
| TCPWindowSize | La taille de la fenêtre pour la trame actuelle, y compris le facteur d’échelle si la poignée de main à trois voies est disponible dans la même trace. | TCPWindowSize==0 |