دریافت و بازبینی بسته های شبکه در ویندوز سرور — راهنمای کاربردی

۹۶ بازدید
آخرین به‌روزرسانی: ۲۰ اردیبهشت ۱۴۰۲
زمان مطالعه: ۴ دقیقه
دریافت و بازبینی بسته های شبکه در ویندوز سرور — راهنمای کاربردی

در زمان عیب‌یابی مشکلات اتصال‌های شبکه یا اپلیکیشن‌ها، یکی از بهترین کارها این است که آن چه را روی شبکه در حال انتقال است، مورد رصد قرار دهیم. مایکروسافت به این منظور ابزار Microsoft Network Monitor را پیشنهاد می‌کند که در ادامه با ابزار Microsoft Message Analyzer جایگزین شده است. متأسفانه مایکروسافت در ادامه دیگر پروژه Microsoft Message Analyzer را ادامه نداد و لینک‌های دانلود آن را نیز حذف کرد. در حال حاضر تنها ابزار قدیمی‌تر Microsoft Network Monitor موجود است. در این مقاله با روش دریافت و بازبینی بسته های شبکه در ویندوز سرور آشنا خواهیم شد.

امکان استفاده از ابزارهای شخص ثالث از قبیل WireShark نیز برای نظارت بر داده‌های انتقال یافته روی شبکه وجود دارد. با این که برخی ابزارهای شخص ثالث ممکن است تجربه بهتری ارائه دهند، اما Microsoft Network Monitor همچنان جایگاه خود را دارد. در این مقاله قصد داریم با شیوه دریافت و بازبینی بسته‌ها با استفاده از جدیدترین نسخه از ابزار Microsoft Network Monitor به عنوان یکی از محبوب‌ترین ابزارها در این زمینه آشنا شویم.

با این که امکان استفاده از WireShark نیز وجود دارد، اما دریافتیم که رابط کاربری و قابلیت استفاده از ابزار Microsoft Network Monitor به صورت آماده بسیار آسان‌تر است. اغلب بخش‌های کار یکسان است و با استفاده از WireShark نیز قابل اجرا است، اما ممکن است نیاز به پیکربندی بسیار بیشتری وجود داشته باشد.

دریافت بسته‌ها با استفاده از Microsoft Network Monitor

ابتدا باید ابزار Microsoft Network Monitor را نصب کنید.

برای دانلود کردن آن به این صفحه (+) بروید و سپس آن را نصب کنید. زمانی که نصب شد، برنامه را باز کنید و روی Capture کلیک کنید.

دریافت و بازبینی بسته های شبکه در ویندوز سرور

سپس با کلیک روی دکمه Start شروع به نظارت بر بسته‌ها بکنید. به این ترتیب بسته‌های جابجا شده دریافت می‌شوند و در سمت چپ برنامه نمایش می‌یابند.

دریافت و بازبینی بسته های شبکه در ویندوز سرور

اگر با پیام خطایی مواجه شدید که اعلام می‌کند هیچ آداپتری اتصال نیافته است، باید Microsoft Network Monitor را به عنوان Administrator اجرا کنید. به علاوه اگر به تازگی آن را نصب کرده‌اید، باید یک بار سیستم را خاموش و روشن کنید.

یکی از بزرگ‌ترین مزیت‌های استفاده از Microsoft Network Monitor این است که مبادله‌های شبکه را به سادگی در سمت چپ صفحه گروه‌بندی می‌کند. به این ترتیب دیدن پردازش‌های خاص و یافتن و بررسی آن‌ها آسان‌تر می‌شود.

دریافت و بازبینی بسته های شبکه در ویندوز سرور

با زدن یکی از علامت‌های بعلاوه و باز کردن آن، مجموعه خاصی از مبادله‌ها دیده می‌شوند که network monitor دریافت کرده و زیر یک پردازش گروه‌بندی کرده است.

فیلتر کردن ترافیک

در هنگام استفاده از network monitor متوجه خواهید شد که با توجه به حجم داده‌های ورودی، باید موارد نویز را فیلتر کنید. یک نمونه استفاده از فیلتر، DnsAllNameQuery است که زیر بخش DNS فیلترهای استاندارد قرار دارد. با افزودن این خط به بخش فیلتر نمایش و کلیک کردن روی دکمه Apply می‌توانید تنها آن بسته‌هایی را ببینید که به کوئری‌های DNS مربوط هستند:

دریافت و بازبینی بسته های شبکه در ویندوز سرور

ساخت فیلترها

ایجاد فیلتر یا ویرایش کردن فیلترهای داخلی کاری بسیار آسان است. درون فیلد Display Filter چند روش برای ساخت فیلتر وجود دارد.

با وارد کردن نام پروتکل و سپس یک علامت نقطه (.) یک فهرست تکمیل خودکار از مقادیر ممکن برای مقایسه کردن دیده می‌شود. با استفاده از عملگر مقایسه استاندارد (==)، می‌توانیم بررسی کنیم که آیا مقادیر خاصی برابر هستند یا نه. حتی می‌توانیم با استفاده از عملگرهای منطقی مانند and و or برخی گزاره‌های چند عبارتی نیز بسازیم. نمونه آن به صورت زیر است:

DNS.QuestionCount AND
DNS.ARecord.TimeToLive == 14

چند متد نیز مانند ()contains و ()UINT8 وجود دارند. در ادامه روش استفاده از contains را برای فیلتر کردن رکوردهای DNS که شامل [google.com] و مقدار TimeToLive برابر با 14 است:

DNS.QuestionCount AND
DNS.ARecord.TimeToLive == 14 AND
DNS.QRecord.QuestionName.contains("google.com")

چند روش برای ترکیب کردن فیلترها وجود دارد که آن‌ها را مفید و استفاده از آن‌ها را آسان می‌سازد. این یک روش عالی برای بازگرداندن صرفاً آن داده‌هایی است که به آن‌ها علاقه داریم. فایده این روش به طور خاص در آن است که حجم داده‌های دریافتی در اغلب موارد بسیار بالا است. در بخش بعدی برخی مثال‌های مفید را بررسی می‌کنیم.

فیلترهای نمونه

برخی مثال‌های عملی علاوه بر فیلترهای داخلی نیز وجود دارند که کمک زیادی به درک شیوه دریافت داده‌های مورد نیاز می‌کنند.

فیلتر کردن بر حسب شماره پورت

با این که می‌توان از پروتکل HTTP برای فیلتر کردن استفاده نمود، اما استفاده از متد زیر به ما امکان می‌دهد که پورت‌های خاصی مانند 8080 یا 8443 را فیلتر کنیم که به طور خاص برای عیب‌یابی مفید هستند:

// Filter by TCP Port Number
tcp.port == 80 OR Payloadheader.LowerProtocol.port == 80
tcp.port == 443 OR Payloadheader.LowerProtocol.port == 443

فریم‌های TCP که به صورت تکه‌تکه هستند، دوباره در کنار هم قرار می‌گیرند و در یک فریم جدید وارد می‌شوند که شامل یک هدر خاص به نام Payloadheader است. با نگاه کردن به هر دو می‌توانیم مطمئن شویم که همه داده‌هایی که به دنبالش هستیم را دریافت کرده‌ایم.

یافتن فریم‌های مربوط به SSL

در زمان عیب‌یابی ممکن است بخواهید اتصال‌های SSL که تلاش به مبادله می‌کنند را پیدا کنید. با این که شاید نتوانید ترافیک داخلی را رمزگشایی کنید، اما این کار به یافتن سرورهایی که اتصال تلاش می‌کند به آن‌ها وصل شود کمک می‌کند:

// Filter by SSL Handshake
TLS.TlsRecLayer.TlsRecordLayer.SSLHandshake.HandShake.HandShakeType == 0x1

یافتن انتقال مجدد TCP و SYN

برای عیب‌یابی مشکلات آپلود و دانلود فایل باید به بررسی تعداد انتقال‌های مجدد (Retransmission) بپردازیم و تأثیر آن را بر عملکرد بررسی کنیم:

Property.TCPRetransmit == 1 || Property.TCPSynRetransmit == 1

بدین ترتیب باید مطمئن شویم که امکان محاوره فعال شده است، چون این فیلتر به آن کارکرد وابسته است.

خواندن فریم‌ها و داده‌های HEX

به طور پیش‌فرض لی‌آوت پنجره دو بخش تحتانی دارد که به جزییات فریم و جزییات HEX اختصاص دارند. درون بخش جزییات فریم، هر بسته به بخش‌های سازنده‌اش تجزیه شده است. در سمت دیگر در بخش جزییات HEX دادها به صورت بایت‌های خام و دیکود شده دیده می‌شوند. زمانی که بخشی از جزییات فریم انتخاب شود، همان بخش در کد HEX هایلایت می‌شود.

دریافت و بازبینی بسته های شبکه در ویندوز سرور

سخن پایانی

اجرای ردگیری شبکه در جدیدترین نسخه‌های ویندوز کار بسیار آسانی است. با این که مایکروسافت ابزارهای داخلی خود را که به این منظور ارائه کرده بود متوقف یا منسوخ ساخته است، اما همچنان می‌توان از آن‌ها استفاده کرد. ابزارهای زیاد دیگری نیز از قبیل WireShark وجود دارند، اما نرم‌افزار Microsoft Network Monitor همچنان کار درک اطلاعات بسته‌های دریافت شده را به صورت بسیار آسان انجام می‌دهد.

اگر این مطلب برای شما مفید بوده است، آموزش‌های زیر نیز به شما پیشنهاد می‌شوند:

==

بر اساس رای ۳ نفر
آیا این مطلب برای شما مفید بود؟
اگر بازخوردی درباره این مطلب دارید یا پرسشی دارید که بدون پاسخ مانده است، آن را از طریق بخش نظرات مطرح کنید.
منابع:
cloudsavvyit
نظر شما چیست؟

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *