Capture Trafik Jaringan dengan Microsoft Network Monitor
Microsoft Network Monitor merupakan alat untuk menangkap lalu lintas jaringan dan penganalisis paket yang tidak digunakan lagi. Ini memungkinkan menangkap, melihat, dan menganalisis data jaringan dan menguraikan protokol jaringan. Ini dapat digunakan untuk memecahkan masalah jaringan dan aplikasi di jaringan
Lakukan instalasi menggunakan file hasil download.
Buka “Microsoft Network Monitor 3.4” dan jalankan sebagai “administrator”
Pilih ethernet yang akan anda capture dengan mencentangnya. Jika anda memiliki banyak ethernet, jangan anda pilih semua ethernet, pilihlah hanya ethernet yang akan anda capture lalu lintas jaringannya.
Memulai Capture Trafik Jaringan
Untuk memulai capture trafik jaringan, klik tombol “New Capture” dan kemudian klik tombol “Start”.
Anda akan melihat trafik yang melalui jaringan ethernet yang anda capture pada bagian “Frame Summary”
Untuk lebih fokus dalam menganalisa jaringan, anda bisa menambahkan filter. Anda bisa memfilter trafik jaringan berdasarkan aplikasi yang berjalan, tujuan, nomor port dan lain sebagainya. Untuk cara penulisan dan contohnya bisa anda lihat pada bagian akhir artikel ini.
Network Monitor Filtering
Network Monitor IPv4 Filtering
Field/ Property
Description
Example
IPv4.Address
Filter pada alamat di kedua arah, sumber atau tujuan.
IPv4.Address==192.168.1.1
IPv4.SourceAddress
Mewakili alamat sumber dan berguna untuk memfilter lalu lintas dari sumber tertentu.
IPv4.SourceAddress==192.168.1.1
IPv4.DestinationAddress
Mewakili alamat tujuan dan berguna untuk menyaring lalu lintas ke tujuan tertentu.
IPv4.DestinationAddress==192.168.2.2
IPv4.PayloadLength
Seluruh panjang muatan IP.
IPv4.PayloadLength == 0
Destination
Berisi alamat sumber protokol paling atas. Jadi jika IPv4 adalah protokol terakhir dengan sebuah alamat, Property.Destination akan berisi representasi string dari alamat tersebut. Ini adalah properti yang sama yang digunakan untuk mengisi kolom Sumber di UI.
Proses yang terkait dengan frame saat ini. Ini dikumpulkan saat Monitor Jaringan 3.4 digunakan untuk menangkap jejak. Jika menggunakan NMCAP, Anda perlu menambahkan / CaptureProcesses .
ProcessName.Contains(“iexpl”)
ProcessID
ID proses yang terkait dengan bingkai saat ini. Ini dikumpulkan saat Monitor Jaringan 3.4 digunakan untuk menangkap jejak. Jika menggunakan NMCAP, Anda perlu menambahkan / CaptureProcesses .
Filter pada alamat di kedua arah, sumber atau tujuan.
Ethernet.Address==0x123456AABBCC
wifi.Management.SA
Mewakili alamat sumber dan berguna untuk memfilter lalu lintas dari sumber tertentu.
wifi.Management.sA==0x123456AABBCC
wifi.Management.DA
Mewakili alamat tujuan dan berguna untuk menyaring lalu lintas ke tujuan tertentu.
wifi.Management.DA==0x123456AABBCC
WiFi.MetaData.PhyType
Nilai Jenis Lapisan Fisik. Setiap nilai mewakili lapisan yang berbeda. Ini dijelaskan dalam tabel WiFiPhyType di wireless.npl . 4=a, 5=b, 6=g, dan 7=n.
WiFi.MetaData.PhyType == 0x6
property.WiFiDestination
Berisi alamat sumber protokol paling atas. Jadi jika WiFi adalah protokol terakhir dengan sebuah alamat, Property.Destination akan berisi representasi string dari alamat tersebut. Ini adalah properti yang sama yang digunakan untuk mengisi kolom Sumber di UI.
WiFiDestination == 0xFFFFFFFFFFFF
property.WifiChannel
Saluran Nirkabel
property.WifiChannel==14
property.WiFiSource
Mirip dengan Tujuan
WiFiSource == 0xFFFFFFFFFFFF
Destination
Berisi alamat sumber protokol paling atas. Jadi jika WiFi adalah protokol terakhir dengan sebuah alamat, Property.Destination akan berisi representasi string dari alamat tersebut. Ini adalah properti yang sama yang digunakan untuk mengisi kolom Sumber di UI.
Filter pada port Sumber atau Tujuan. Digunakan untuk mencari lalu lintas berdasarkan port yang sering dikaitkan dengan suatu aplikasi.
TCP.Port==80
TCP.Flags.Reset
Dapat digunakan untuk menguji dan melihat apakah tanda reset disetel.
TCP.Flags.Reset==1
TCP.Window
Ukuran Jendela dari bingkai TCP saat ini, tetapi mengabaikan faktor skala. Lihat Property.TCPWindowSize di bawah.
TCP.Window == 0
TCPRetransmit
Properti yang ditetapkan saat pengiriman ulang TCP ditemukan. Transmisi ulang sering kali merupakan indikasi masalah infrastruktur jaringan dan kemacetan jaringan.
Property.TCPRetransmit == 1
TCPPayloadLength
Mewakili Ukuran Payload TCP.
TCPPayloadLength == 0
TCPCheckSumStatus
Ini adalah string yang mewakili jika jumlah cek valid atau tidak. Ini bisa menjadi “Baik” atau “Buruk”.
TCPCheckSumStatus != “Good”
TCPDescription
Properti untuk menampilkan Deskripsi TCP untuk frame saat ini sebagai lawan dari deskripsi protokol paling atas. Ini berguna sebagai kolom ringkasan bingkai. Anda juga dapat menggunakannya untuk mencari frame yang ditransmisikan ulang tertentu dengan mencari teks dalam ringkasan TCP, seperti yang ditunjukkan oleh contoh.
TCPDescription.Contains(“#472”)
TCPAckNumber
Nomor Pengakuan frame saat ini
TCPAckNumber==1234
TCPSeqNumber
Nomor Urutan frame saat ini
TCPSeqNumber==1234
TCPSeqeunceRange
Rentang Urutan TCP, sebagai string, yang merupakan nomor urutan saat ini ke urutan saat ini ditambah panjang muatan TCP.
TCPSequenceRange.Contains(“1234”)
TCPShortAckNumber
Sebuah representasi KATA dari nomor Ack untuk membuatnya mudah untuk membandingkan dan mengingat.
TCPShortAckNumber==1000
TCPShortSeqNumber
Sebuah representasi KATA dari nomor Seq untuk membuatnya mudah untuk membandingkan dan mengingat.
TCPShortSeqNumber==1000
TCPFlags
Representasi string dari berbagai flag TCP untuk frame: C WR, E CE, U rgent, A ck, Push , REset , S yn , F in.
TCPFlags.Contains(“R”)
TCPWindowSize
Ukuran Jendela untuk bingkai saat ini termasuk faktor penskalaan jika jabat tangan 3 arah tersedia dalam jejak yang sama.
