Network Monitor (1/2)

02/01/2015 0 Comments

¡Hola a todos! ¡Feliz año!

Vamos a empezar 2015 con fuerza 🙂

Una de las herramientas que más nos gustan y que más utilizamos a la hora de hacer troubleshooting es Microsoft Network Monitor.

Con este programa podemos capturar y analizar trazas de red, cosa que viene muy bien ya que en el 80% de los problemas de infraestructura, las comunicaciones están relacionadas en mayor o menor medida.

Aunque Wireshark es una alternativa muy potente y mejor que Network Monitor en muchos casos, como por ejemplo en las búsquedas de strings, el seguimiento de las conversaciones, etc, hay detalles de Netmon que a mi me gustan especialmente.

Vamos a intentar resumir aquellos detalles o cosas a tener en cuenta a la hora de capturar y analizar trazas de red con Network Monitor para que nos hagan la vida más fácil 🙂

1.   Ejecutar netmon con administrador: alguna vez os podéis encontrar con que al arrancar el programa no aparecen los adaptadores de red. La mayoría de las veces se soluciona ejecutando la aplicación como Administrador. Netmon coloca su driver para capturar los paquetes en una capa que está entre el driver del adaptador de red y el propio S.O. Tenerlo en cuenta para determinar donde se queda un paquete una vez llegue al equipo donde estamos capturando.

Ejecutar como admin
Ejecutar como Admin

 

2.   Conocer la IP del equipo donde capturas: una cosa que nos puede ayudar mucho a la hora de analizar unas trazas es poder cargarla al cabo de mucho tiempo y saber rápidamente cual era la dirección IP o direcciones de los diferentes adaptadores que había en esa máquina. Para ello únicamente debemos ver la información del segundo paquete que aparecerá en la captura y acudir a la siguiente sección:

Conocer la dirección IP
Conocer la dirección IP
Conocer la dirección IP y otros datos
Conocer la dirección IP y otros datos

Como veis, aparte de la dirección IP podemos conocer otros datos sobre el adaptador de red.

3.   Parsers: nos van a permitir interpretar cierto tráfico y con diferente nivel de detalle. Para analizar protocolos que a lo mejor no son muy conocidos o para poder ver con más detalle que ocurre en la comunicación entre ciertos procesos, los parsers nos pueden dar esa información que necesitamos. Lo ideal es mantenerlos lo más actualizado posible y si vamos a analizar algún programa en concreto como puede ser Lync, buscar si existen parsers específicos.

Network Monitor Open Source Parsers: http://nmparsers.codeplex.com/

Network Monitor parsers: https://connect.microsoft.com/site216/Network%20Monitor%20Parsers

Lync Network Monitor Parsers: http://www.microsoft.com/en-us/download/details.aspx?id=22440

4.   Colores: una de las cosas más interesante que podemos definir en Network Monitor son las reglas de color para el análisis de trazas. De esta manera podemos construirnos poco a poco nuestras reglas que nos ayuden de un vistazo rápido a encontrar errores o situaciones anómalas que de otra manera podrían pasar inadvertidas si la traza es muy grande. Por ejemplo, para ver de un vistazo un caso de saturación en la red, podemos definir una regla para que nos marque en rojo aquellos paquetes en los que la ventana TCP tenga valor 0:

Reglas de color

De un vistazo rápido a la traza podremos ver si algo ha ido mal. En la siguiente imagen vemos un ReTransmit del Syn de TCP, lo que podría indicar por ejemplo que el puerto está cerrado o que no hay ningún servicio escuchando:

Retransmit
Retransmit

E incluso en una conversación que involucre varios pasos podemos separarlos para ver rápidamente si no pasa alguno de ellos:

Traza SMB
Traza SMB

Os dejo aquí el fichero con las reglas de colores que he ido preparando con los años cogiendo muchas de algunos compañeros. Para cargarlos sólo hay que irse a Tools -> Options -> Color Rules -> Open.

5.   Separar en conversaciones y procesos: otra cosa que nos permite Network Monitor para facilitarnos la vida es un panel lateral donde podemos realizar un filtrado rápido entre las diferentes conversaciones y procesos. Esto es muy útil por ejemplo para analizar comunicaciones que inicie un navegador web (puerto 80, 443), sacar de un vistazo si algo lleva demasiados intentos, etc.

Conversaciones
Conversaciones

 

Hasta aquí la primera parte de las funcionalidades que queremos destacar de esta fantástica herramienta. En el siguiente capítulo veremos cosas muy interesantes que podemos hacer ejecutándola desde la línea de comandos, como arrancarla con Windows o asociar la parada de la captura a un Evento.

Happy networking!

0 thoughts on “Network Monitor (1/2)”

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *