Ispezionare i pacchetti dati con un server Windows è un’operazione che permette di valutare la sicurezza della rete. Il monitoraggio del traffico di rete attraverso tool appositi permette di individuare sia problemi di connessione nel trasferimento dei pacchetti dati all’interno dell’infrastruttura, che di rilevare eventuali malware e attacchi informatici in corso. Per procedere al monitoraggio del traffico bisogna utilizzare degli specifici tool detti analizzatori di protocollo, che consentono di intercettare e ispezionare i pacchetti dati e trovare le informazioni di cui un utente ha bisogno. Microsoft da sempre mette a disposizione degli utenti dei tool gratuiti per l’ispezione dei pacchetti di rete: prima Network Monitor, poi abbandonato per Microsoft Message Analyzer, uno strumento completo per l’analisi del traffico. Poi dal 2019 Message Analyzer è stato ritirato e ora rimane solo il tool Microsoft Network Monitor. Ecco come fare per acquisire e ispezionare pacchetti di dati con l’analizzatore di protocollo gratuito di Microsoft.
Network Monitor di Microsoft: cos’è e come funziona
Network Monitor 3 di Microsoft è l’ultima versione dell’analizzatore di protocollo offerto agli utenti dalla società di Redmond. Questo tool nella versione 3.4 offre supporto per Windows 7, per le piattaforme a 32 e 64 bit, per le conversazioni di rete e il monitoraggio dei processi. Può quindi essere utilizzato per intercettare e ispezionare i pacchetti dati con un serverWindows.
I requisiti minimi hardware per procedere all’installazione sono un processore da 1 GHz o superiore, almeno 1 GB di RAM e 60 MB di spazio disponibile su disco rigido per l’archiviazione. Network Monitor 3.4 è supportato dai sistemi operativi Windows 10 e versioni precedenti, oltre che a Windows Server 2012 R2 e versioni precedenti.
Come catturare i pacchetti
Dopo aver scaricato Network Monitor 3.4 dalla pagina ufficiale di Microsoft e averlo installato sul proprio computer, si è pronti per procedere alla cattura dei pacchetti dati. Il primo passo è aprire il programma selezionando l’opzione “Esegui come amministratore”, poi nella schermata principale fare clic su Nuova acquisizione e poi fare clic su Avvia.
In questo modo, si avvia in modo automatico l’acquisizione del traffico dati e nella schermata a sinistra apparirà un elenco di Network Conversations, con tutti i pacchetti dati che l’analizzatore di protocollo ha “catturato”. La visualizzazione degli elenchi dei pacchetti ha un’interfaccia molto intuitiva, con i pacchetti che vengono raggruppati ognuno sotto un processo, così da facilitare la ricerca e l’analisi di uno specifico processo. Sarà sufficiente fare clic sul segno “+” per aprire l’elenco con tutti i pacchetti intercettati.
Come usare i filtri con Network Monitor
Una volta che Network Monitor 3.4 ha raggruppato tutti i pacchetti dati, è necessario individuare quello di cui si vuole eseguire l’analisi per il monitoraggio del traffico di rete. Per poter procedere, bisogna prima scremare i dati e selezionare solo quelli che sono funzionali all’utilizzo che se ne vuole fare. Per questo motivo, il tool di Microsoft è dotato di un sistema di filtri, che permettono di selezionare le singole tipologie di pacchetti dati da analizzare, così da concentrarsi solo sull’aspetto che interessa l’utente.
Le operazioni di filtraggio possono essere eseguite scegliendo uno dei Filtri Standard oppure creando un filtro personalizzato direttamente nel programma.
Dopo aver aperto il pacchetto di cui si vuole fare l’analisi, nella schermata appariranno alcuni dati come il numero di frame, l’ora e la data di acquisizione, il nome del processo, l’origine, la destinazione, il nome del protocollo utilizzato e la descrizione del percorso del processo. In questa schermata, si potrà procedere con l’applicazione dei filtri. Ad esempio, un utente potrebbe decidere di ricorrere a un Filtro standard e scegliere nella sezione DNS l’opzione DNSAllNameQuery. Facendo clic su Applica, nella schermata verranno visualizzati solo i pacchetti che sono relativi a query DNS.
Come creare filtri personalizzati
Network Monitor di Microsoft permette di creare nuovi filtri o di modificare quelli predefiniti già presenti nel programma. I modi per creare i filtri sono diversi: si può inserire un nome protocollo seguito da un punto, e grazie al completamento automatico appariranno all’utente tutti i possibili valori di campo disponibili. Oppure, si può usare l’operatore “==” per vedere se certi valori sono uguali tra loro. Per comprendere come modificare i filtri, si procede con alcuni esempi pratici.
Filtro per numero di porta. Il programma permette di utilizzare il protocollo http per filtrare il numero di porta, ma modificando le impostazioni si potrà tenere conto anche delle porte personalizzate, che sono particolarmente utili da analizzare quando si cercano problemi di sicurezza in rete. Nella barra dove inserire il filtro, si dovrà scrivere:
tcp.port == 80 OR Payloadheader.LowerProtocol.port == 80
tcp.port == 443 OR Payloadheader.LowerProtocol.port == 443
Filtro frame di negoziazione SSL. Se durante il monitoraggio si riscontra un problema sulla rete, può essere utile comprendere la negoziazione SSL e quindi di trovare quali sono i server che si sta tentando di utilizzare per la connessione. Per applicare questo tipo di filtro, bisogna digitare:
TLS.TlsRecLayer.TlsRecordLayer.SSLHandshake.HandShake.HandShakeType == 0x1
Filtro per ritrasmissioni TCP e ritrasmissioni SYN. Quando si riscontra un problema di caricamento o di download dei file, può essere utile analizzare come le ritrasmissioni TCP e SYN influenzano le prestazioni. Per farlo, si può impostare il filtro:
Property.TCPRetransmit == 1 || Property.TCPSynRetransmit == 1
Navigando in rete nei forum di supporto per l’utilizzo di Network Monitor sarà possibile di volta in volta individuare quali sono i filtri più adatti alle esigenze dell’utente. Utilizzando questo analizzatore di protocolli, sarà possibile ispezionare i pacchetti di dati con server Windows, così da poter individuare e risolvere ogni eventuale problema che potrebbe presentarsi.
Fonte Fastweb.it