تكنولوجيا

كيفية التقاط وفحص حزم الشبكة في Home windows Server – CloudSavvy IT

عند استكشاف مشكلات الاتصال أو التطبيق الصعبة وإصلاحها ، من المفيد مراجعة ما يتم إرساله عبر الشبكة. قدمت Microsoft في الأصل Microsoft Network Check ، والذي تم استبداله لاحقًا بـ Microsoft Message Analyzer. لسوء الحظ ، توقفت Microsoft عن استخدام Microsoft Message Analyzer وأزلت رابط التنزيل الخاص بها. حاليًا ، يتوفر فقط برنامج Microsoft Community Watch الأقدم.

بالطبع ، يمكنك استخدام أدوات الجهات الخارجية لإجراء عمليات التقاط الشبكة ، مثل WireShark. على الرغم من أن بعض أدوات الجهات الخارجية قد توفر تجربة أفضل ، إلا أن Microsoft Network Keep an eye on لا تزال تتمتع بميزاتها الخاصة. في هذه المقالة ، سنتعلم كيفية استخدام أحدث إصدار متوفر من Microsoft Network Watch (أحد أكثر الأدوات شيوعًا في الوقت الحالي) لالتقاط الحزم وفحصها.

على الرغم من أنه يمكنني استخدام WireShark ، إلا أنني وجدت أن واجهة Microsoft Community Observe وقابليتها للاستخدام أسهل بكثير في الاستخدام خارج الصندوق. يمكن القيام بمعظم العمل نفسه في WireShark ، ولكن قد تحتاج إلى تكوين المزيد في الواجهة.

استخدم Microsoft Network Monitor لالتقاط الحزم

أولاً ، نحتاج إلى تثبيت Microsoft Community Keep an eye on ، يمكنك العثور على التنزيل هنا ، ثم متابعة التثبيت. بعد تثبيت Microsoft Community Keep track of ، انطلق وابدأ البرنامج. بعد الإطلاق ، ستضغط على “لقطة جديدة”.

عرض صفحة البداية

بعد ذلك ، سترغب في بدء المراقبة بالنقر فوق الزر “ابدأ”. سيبدأ هذا في الالتقاط على الفور وسترى المحادثة تبدأ في الظهور على اليسار.

اعرض الشاشة الملتقطة حديثًا قبل بدء الالتقاط

إذا وجدت أنك تلقيت رسالة خطأ تفيد بأن المحول غير مرتبط ، فيجب عليك تشغيل Microsoft Network Watch كمسؤول. أيضًا ، إذا قمت بتثبيته للتو ، فقد تحتاج إلى إعادة التشغيل.

تتمثل إحدى الفوائد العظيمة لاستخدام Microsoft Community Monitor في أنه يمكن بسهولة تجميع محادثات الشبكة الخاصة بك على اليسار. هذا يجعل من السهل العثور على عمليات محددة ثم الخوض فيها.

عرض محادثة الويب

سيؤدي توسيع أي من علامات الجمع إلى إظهار مجموعة محددة من “المحادثات” التي ربما يكون مراقب الشبكة قد التقطها وجمعها في إطار العملية.

تدفق الفلتر

ستكتشف بسرعة أنه مع وصول كل هذه البيانات ، ستحتاج إلى تصفية الضوضاء بسهولة أكبر.مثال على استخدام المرشحات DnsAllNameQuery، ضمن قسم DNS لعامل التصفية القياسي. بإضافة هذا السطر إلى قسم عامل تصفية العرض والنقر فوق تطبيق ، ستتمكن من عرض تلك الحزم التي تمثل استعلامات DNS فقط ، كما هو موضح أدناه.

عرض عامل تصفية DnsAllNameQuery

مرشح المبنى

من السهل جدًا إنشاء مرشح أو تعديل المرشح المدمج. في حقل “عرض الفلتر” ، هناك عدة طرق لإنشاء عامل تصفية.عن طريق إدخال اسم الاتفاقية ومتابعتها . (فترة) ، سترى الإكمال التلقائي لقيم الحقول الممكنة للمقارنة.استخدم عوامل المقارنة القياسية == يمكننا أن نرى ما إذا كانت بعض القيم متساوية.يمكننا حتى استخدام العوامل المنطقية لإنشاء تعبيرات متعددة ، مثل and مع or. وفيما يلي مثال على ذلك.

DNS.QuestionCount AND
DNS.ARecord.TimeToLive == 14

هناك أيضًا بعض الطرق المتاحة ، مثل consists of() مع UINT8(). يمكنك أن ترى أن استخدام الطريقة تحتوي أدناه لتصفية سجلات DNS التي تحتوي فقط على ما يلي [google.com](http://google.com) ووقت للعيش 14.

DNS.QuestionCount AND
DNS.ARecord.TimeToLive == 14 AND
DNS.QRecord.QuestionName.consists of("google.com")

كما تعلم ، هناك عدة طرق لدمج المرشحات لجعلها مفيدة وسهلة الاستخدام. هذه طريقة جيدة لعرض البيانات التي تهتم بها فقط ، خاصةً لأن التقاط الحزم يمكن أن يصبح كبيرًا جدًا. في القسم التالي ، سنلقي نظرة على بعض الأمثلة المفيدة.

مرشح المثال

بالإضافة إلى الأمثلة المضمنة الافتراضية ، فإن بعض الأمثلة العملية مفيدة جدًا لمساعدتك على فهم كيفية الحصول على البيانات المفيدة التي تحتاجها.

تصفية حسب رقم المنفذ

على الرغم من أنه يمكن استخدام بروتوكول HTTP للتصفية ، إلا أن الطرق التالية تسمح لك بالنظر في المنافذ المخصصة ، مثل 8080 أو 8443، وهو أمر مفيد بشكل خاص عند استكشاف الأخطاء وإصلاحها.

// Filter by TCP Port Number
tcp.port == 80 OR Payloadheader.LowerProtocol.port == 80
tcp.port == 443 OR Payloadheader.LowerProtocol.port == 443

يتم إعادة تجميع إطارات TCP المجزأة وإدراجها في إطار جديد يحتوي على رأس خاص يسمى Payloadheaderمن خلال البحث عن كليهما ، يمكننا التأكد من الحصول على جميع البيانات التي نبحث عنها هنا.

ابحث عن إطار تفاوض SSL

عند استكشاف الأخطاء وإصلاحها ، قد تحتاج إلى فهم اتصالات SSL التي تحاول التفاوض. على الرغم من أنك قد لا تتمكن من فك تشفير حركة المرور الداخلية ، فإن هذا سيساعد في العثور على الخادم الذي يحاول الاتصال استخدامه.

// Filter by SSL Handshake
TLS.TlsRecLayer.TlsRecordLayer.SSLHandshake.HandShake.HandShakeType == 0x1

ابحث عن إعادة إرسال TCP وإعادة إرسال SYN

لحل مشكلات تحميل الملفات وتنزيلها ، يمكنك التحقق لمعرفة ما إذا كان هناك العديد من عمليات إعادة الإرسال التي قد تؤثر على الأداء.

Residence.TCPRetransmit == 1 || Residence.TCPSynRetransmit == 1

تأكد من فتح المحادثة ، هذا الفلتر يعتمد على الميزة.

اقرأ بيانات الإطار والسداسي العشري

بشكل افتراضي ، يحتوي تخطيط النافذة على جزأين سفليين مخصصين لتفاصيل الإطار والتفاصيل السداسية العشرية. في تفاصيل الإطار ، يتم تقسيم كل حزمة بيانات إلى الأجزاء المكونة لها. على الجانب الآخر توجد التفاصيل السداسية العشرية ، وهي وحدات البايت الخام وفك الشفرة. عند تحديد جزء مختلف في تفاصيل الإطار ، سيتم أيضًا تمييز نفس الجزء في الكود السداسي العشري.

عرض تفاصيل الإطار والبيانات السداسية العشرية الأولية

ختاما

من السهل جدًا إجراء تتبع الشبكة باستخدام أحدث إصدار من Home windows. على الرغم من أن Microsoft قد اختارت إيقاف أو إهمال الأدوات التي تم إنشاؤها داخليًا ، إلا أنه لا تزال هناك بعض الأدوات التي لا تزال مزدهرة. هناك العديد من البرامج الأخرى ، مثل WireShark ، ولكن لا يزال بإمكان Microsoft Community Observe تحليل معلومات الحزمة الملتقطة وفهمها بسهولة.

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى