Microsoft Network Monitor

Wenn es um Netzwerkanalyse geht, denkt man sofort an Wireshark. Aber auch der Network Monitor von Microsoft hat einige interessante Möglichkeiten. Der folgende Artikel zeigt einige Features des Network Monitor 3.3 Beta.

Anzeige des Traffics pro Anwendung

Der Network Monitor ist in der Lage, lokalen Traffic einer Anwendung zuzuordnen. Die Spalte "Process Name" kann in die Frame Summary eingeblendet werden. So ist auf den ersten Blick zu erkennen, welches Programm den Datenverkehr erzeugt.

Diese Zuordnung funktioniert allerdings nicht für den gesamten Netzwerkverkehr. Traffic von Diensten oder der Kommandozeile kann nicht zugeordnet werden,

Network Conversations

Im Fenster "Network Conversations" zeigt der Network Monitor Kommunikationsbeziehungen zwischen IP-Adressen an. Zusätzlich wird der Traffic auch hier nach Applikationen gruppiert.

Diese Option lässt sich im Menü Tools / Options / Capture steuern.

Kommentieren von Frames

Bei der Auswertung größerer Tracefiles mache ich mir oft Notizen. Entweder im Texteditor oder auf Papier. Der Network Monitor verfügt dazu über ein nettes Feature: Kommentare zu Frames. In abgespeicherte Traces lassen sich einzelne Frames mit Kommentaren versehen.

Mit zwei Schaltflächen kann zwischen allen kommentierten Frames navigiert werden.

Capture von der Kommandozeile

Für das reine Aufzeichnen von Netzwerkverkehr verfügt der Network Monitor über das Kommandozeilenprogramm nmcap.exe. Durch den Verzicht auf die grafische Oberfläche ist nmcap deutlich performanter und ermöglicht auch die Nutzung älterer Hardware zum Capturen. Hier einige Beispiele:

C:\Program Files\Microsoft Network Monitor 3>nmcap /example
Netmon Command Line Capture (nmcap) 3.3.1571.0

Example Usage:

  Example 1:

This example starts capturing all TCP frames and will be saved in a capture file
name tcp.cap. If you want to stop capturing, Press Control+C.

nmcap /network * /capture tcp /File tcp.cap

  Example 2:

This example starts capturing network frames that DO NOT contain ARPs, ICMP,
NBtNs and BROWSER frames.  If you want to stop capturing, Press Control+C.

nmcap /network * /capture  (!ARP AND !ICMP AND !NBTNS AND !BROWSER) /File NoNoise.cap

Mit dem Aufruf von nmcap /? erhält man eine ausführliche Hilfe zu den verfügbaren Parametern.

Der Network Monitor arbeitet unter allen aktuellen Windows-Versionen inklusive Vista, Windows 7 und Server 2008. Unter Windows 7 gibt es WWAN Capture Support (UMTS). Einen Link zum Download und aktuelle News finde Sie im Network Monitor Blog.