Cómo Capturar Tráfico de Red con Network Monitor

Id. de artículo: 551014 - Ver los productos a los que se aplica este artículo
Este artículo se publicó anteriormente con el número E10964
Expandir todo | Contraer todo

Resumen



El propósito del siguiente artículo es proporcionarle la información
necesaria para capturar tráfico de red en una Red de Area Local (LAN)
usando Microsoft Network Monitor.

El texto del siguiente artículo es un extracto del fichero de Ayuda de
Microsoft Network Monitor, que debería ser referenciado para
instrucciones más detalladas del uso.

Más información



Network Monitor es una herramienta de diagnóstico de red que permite
monitorizar LANs y proporciona una visualización gráfica de las
estadísticas de la red. Los administradores de red pueden usar estas
estadísticas para realizar tareas de resolución de problemas
rutinarias, tales como la localización de un servidor fuera de
servicio/caído o aquel que esté recibiendo un número desproporcionado
de peticiones de trabajo.

Mientras se está recolectando los paquetes de datos de red, Network
Monitor visualiza los siguientes tipos de información:

- La dirección fuente del ordenador que envía el frame a la red.
(Esta dirección es una dirección hexadecimal (o base-16) única,
que identifica el ordenador en la red).

- La dirección destino del ordenador que recibe el frame.

- Los protocolos usados para enviar el frame.

- Los datos, o porción del mensaje que está siendo enviado.

El proceso por el cual Network Monitor colecciona esta información se
denomina "captura". Por defecto, Network Monitor recoge estadísticas
de todos los frames que detecta en la red en un 'buffer de captura',
que es un área de almacenamiento reservada en memoria. Para capturar
estadísticas de sólo un subconjunto específico de frames, podemos
aislar dichos frames mediante el diseño de un 'filtro de captura'
(capture filter). Cuando hayamos finalizado la captura de información,
podemos diseñar un 'filtro de visualización' (display filter) para
especificar qué cantidad de información capturada queremos que Network
Monitor visualice en la ventana 'Frame Viewer".

Para usar Network Monitor, el ordenador debe tener una tarjeta de red
que soporte trabajar en "promiscuous mode". Si estamos usando Network
Monitor en un ordenador remoto, la workstation local no necesita una
tarjeta de red que soporte dicho modo de trabajo, pero sí el ordenador
remoto.

Para capturar tráfico a través de la red, o preservar recursos
locales, usar el "Network Monitor Agent" para capturar información
usando un ordenador Windows NT remoto. Cuando realizamos una captura
de forma remota, Network Monitor Agent recoge estadísticas desde un
ordenador remoto, y a continuación las envía al ordenador local, dónde
son visualizadas en la ventana local de Network Monitor.

Una vez que los datos han sido capturados, bien local o remotamente,
los datos pueden ser guardados a un fichero de texto o de captura, y
podrán ser posteriormente examinados por administradores de red
especializados en el análisis de tráfico de red.

NOTA: La funcionalidad básica de Network Monitor, descrita en la
Ayuda, es soportada por el Departamento de Soporte Técnico de
Microsoft. Sin embargo, tareas dependientes de la red, tal y como la
interpretación de datos de la captura de red, NO están soportados. El
Network Monitor Agent está soportado en Windows NT, pero NO está
soportado en estaciones de trabajo Windows 3.1 o Windows Trabajo en
Grupo 3.11.

CREACIaN DE UNA LISTA DE DIRECCIONES (ADDRESS LIST)

Para usar pares de direcciones en un Filtro de Captura, deberíamos
primero construir la base de datos de direcciones. Una vez que dicha
base de datos esté construida, podremos usar las direcciones listadas
en dicha base de datos para especificar pares de direcciones en el
Filtro de Captura.

Para crear la 'Lista de Direcciones', siga estos pasos:

1. En el menú 'Capture', seleccionar 'Start'. Opcionalmente, Abrir
un fichero .CAP en la ventana 'Frame Viewer'.

2. Cuando hayamos finalizado la captura, seleccionar 'Stop' y
'View' en el menú 'Capture' para visualizar la ventana 'Frame
Viewer'.

3. Del menú 'Display', seleccionar 'Find All Names'. Network
Monitor procesa los frames y los añade a la base de datos de
direcciones.

4. Cerrar la ventana 'Frame Viewer' y visualizar la ventana
'Capture'.

5. Del menú 'Capture', seleccionar 'Filter' para visualizar el
cuadro de diálogo 'Capture Filter'.

6. En el cuadro de diálogo 'Capture Filter', hacer doble-clic sobre
la línea 'Address Pairs', o seleccione 'Address' en el grupo
'Add'.

Network Monitor visualizará la base de datos de direcciones que acaba
de crear. Puede usar los nombres en dicha base de datos para
especificar pares de direcciones al crear el filtro de Captura.

CAPTURA DE DATOS ENTRE DOS ORDENADORES

Para monitorizar el tráfico de red entre dos ordenadores, siga estos
pasos:

1. Del menú 'Capture', seleccionar 'Filter' para visualizar el
cuadro de diálogo 'Capture Filter'.

2. Hacer doble-clic en la línea ANY<->ANY para visualizar el cuadro
de diálogo 'Address Expression'.

3. En el cuadro de diálogo 'Address Expression', en la ventana de
la izquierda seleccionar la dirección de un ordenador.

4. En el cuadro de diálogo 'Address Expression', en la ventana de
la derecha seleccionar la dirección de otro ordenador. Una vez
realizado esto, escoger el botón 'Next' en la parte de arriba de
la ventana 'Address Expression' para tener más instrucciones.

5. En la ventana 'Direction', del cuadro de diálogo 'Address
Expression', escoger uno de los siguientes símbolos:

- Escoger el símbolo '<-->' para monitorizar el tráfico que
atraviesa en cualquier dirección entre las direcciones de
ordenadores seleccionadas.

- Escoger el símbolo '-->' para monitorizar sólo el tráfico
que atraviesa en una determinada dirección, desde la
dirección del ordenador seleccionado en la ventana de la
izquierda a la dirección seleccionada en la ventana de la
derecha.

6. Pulsar OK.

7. En el cuadro de diálogo 'Capture Filter', pulsar OK.

8. En el menú 'Capture', seleccionar 'Start'.

ALMACENAMIENTO DEL TR¦FICO DE RED (DATOS) CAPTURADOS

Usar el comando 'Save As' del menú 'File' para guardar las
estadísticas de la captura a un fichero de captura o para guardar los
cambios a ficheros de captura que hayamos modificado. Posteriormente,
para ver los frames guardados al fichero, podemos abrir dicho fichero
y visualizar las estadísticas en la ventana 'Frame Viewer' de Network
Monitor.

Para guardar los frames capturados a un fichero de captura (.CAP) o a
un fichero de texto (.TXT):

1. En el menú 'File' seleccionar 'Save As' o pinchar en el icono
'File Save' de la barra de herramientas.

2. Para guardar el fichero, hacer una de las siguientes
alternativas:

- Para guardar el fichero en la unidad y directorio
actuales, en el cuadro 'File Name' especificar un nombre
de fichero y una extensión. Si estamos guardando un
fichero que hemos modificado, no podremos guardarlo con su
nombre original en el mismo directorio.

- Para guardar el fichero en una unidad de red a la que
estemos conectados, pinchar en el botón 'Network' y usar
el cuadro de diálogo 'Connect Network Drive' para
establecer la conexión.

- Para guardar el fichero a una unidad o directorio distinto
del actual, en el cuadro 'Drives', seleccionar 'New
Drive'. En el cuadro 'Directories', seleccionar 'New
Directory'. Teclear el nombre del fichero.

3. Para guardar sólo aquellas estadísticas de frames que cumplan
las especificaciones del 'filtro de visualización' actual,
escoger 'Filtered'. Esta opción está sólo disponible si estamos
guardando los datos desde la ventana 'Frame Viewer'.

4. Para guardar un rango de frames particular, teclear el número de
frame inicial y final en los cuadros 'From' y 'To'.

5. Pulsar OK.

NOTA: Cuando el rango de frames es guardado a un fichero de captura,
los números asociados con los frames son modificados; en un fichero de
captura, los número de frames siempre comienzan con 1, sin importar el
número asociado al frame original. De forma similar, si aplicamos un
'filtro de visualización' y a continuación guardamos los frames
filtrados, los números de frames en el fichero de captura comenzarán
con 1. Sin embargo, si usamos las opción 'Print to File' del cuadro de
diálogo 'Print', los números de frame originales asociados a los
frames son preservados.

CAPTURA DE TR¦FICO DE RED EN ENTORNO WAN

En algunas ocasiones, puede ser necesario tomar una captura de tráfico
de red entre dos ordenadores que están separados por uno o más
routers. En estos casos, el Ingeniero de Soporte puede necesitar
analizar todo el tráfico de red entre el primer ordenador y el router
más cercano, y todo el tráfico de red entre el segundo ordenador y el
router más cercano. En la mayoría de ocasiones esto se realiza para
observar si hay paquetes de red perdidos o corruptos en algún lugar
entre los routers. Para hacer que estas trazas sean consistentes y
para permitir que sean interpretadas simultáneamente, los relojes de
sistema deben ser sincronizados antes de tomar la traza entre los dos
ordenadores.

Usar los siguientes pasos para sincronizar la hora entre los dos
ordenadores (objeto de la captura):

1. Seleccionar el ordenador contra el que vamos a sincronizar la
hora.

2. Desde el otro ordenador, teclear el comando:

net time \\<NombreOrdenador> /set /yes

dónde <NombreOrdenador> es el nombre del ordenador seleccionado
en el paso 1.

3. Verificar que ambos ordenadores tienen almacenado la misma hora,
tecleando el comando TIME en ambos.

4. Proceder con la realización de la captura del tráfico de red.

SELECCIONAR LAS DIRECCIONES MAC (MEDIA ACCESS CONTROL)

Si el ordenador a ser monitorizado está ejecutando...

- Cliente de Red MS-DOS, ejecutar Microsoft Diagnostics (MSD) en
dicho ordenador.

- Microsoft Windows Trabajo en Grupo 3.11 (con TCP/IP), teclear
IPCONFIG /ALL desde la línea de comandos.

- Microsoft Windows 95, ejecutar WINIPCFG desde la línea de
comandos.

- Windows NT, desde la línea de comandos de la consola local,
ejecutar uno de estos comandos:

NET CONFIG SERVER
IPCONFIG /ALL
IPXROUTE config
arp -a
Getmac.exe (incluido en el Resource Kit de Windows NT Server)
WinMSD

CONEXIaN A UN "NETWORK MONITOR AGENT" REMOTO A TRAVÉS DE UN ROUTER

Network Monitor tiene la habilidad de capturar tráfico de red en una
subred distinta mediante la conexión a un sistema que esté ejecutando
el 'software de AGENTE remoto' en aquella sured. El software (Network
Monitor) Agent está incluido en Windows NT Workstation y Server.

En Network Monitor, seleccionar 'Networks' del menú 'Capture' para
visualizar "remote" como una de las posibles opciones. Proporcionar el
nombre del ordenador (con o sin "\\") con cuyo AGENTE nos vamos a
conectar.

Para que Network Monitor se pueda conectar al "Remote Agent" a través
de un router, el nombre de ordenador del Remote Agent debe ser
resuelto. Si el nombre no puede ser resuelto, obtendremos el siguiente
mensaje de error:

"Failure connecting to <nombre de ordenador del Agent>"

El Remote Agent registra su nombre NetBIOS de 16 caracteres de
longitud. Consiste del nombre del ordenador seguido por 0xBE
(caracteres extendidos).

Por tanto, un ordenador llamado "HITME" sería:

"HITME\0xBE\0xBE\0xBE...".

Para conectarse al Remote Agent a través de un router, proceder de la
siguiente forma:

1. Asegurarse de que el 'Manager' (ordenador que ejecuta Network
Monitor) y el 'Agente' (ordenador que ejecuta el Remote Agent)
tienen un protocolo rutable instalado (por ejemplo TCP/IP o
NWLINK).

2. Instalar el software 'Network Monitor Agent' en el ordenador
remoto.

3. Arrancar el servicio 'Network Monitor Agent', bien desde la
línea de comandos (usando el comando NET START NMAGENT) o desde
Panel de Control / Servicios, seleccionado dicho servicio y
pulsando "Start".

4. Si estamos usando protocolo TCP/IP, tenemos dos formas de
resolver un nombre NetBIOS a su correspondiente dirección IP. Si
tanto el 'ordenador Manager' como el 'ordenador Agent' están
usando WINS (Microsoft Windows Internet Naming Service), en ese
caso el nombre será resuelto vía WINS y WINS localizará el
agente remoto. Si no se usa WINS, entonces será necesaria en el
'ordenador Manager' la existencia de un fichero LMHOSTS
con una entrada especial para el 'ordenador Agente'.

Es decir, si usamos TCP/IP pero no hay disponible ningún
servidor WINS, deberemos añadir el nombre del 'ordenador Agente'
al fichero LMHOSTS. Los caracteres extendidos (no-imprimibles)
pueden ser añadidos usando el formato \0xnn, donde nn representa
el código ASCII del caracter.

Ejemplo de entradas en fichero LMHOSTS:

130.1.2.3 "MYAGENT\0xBE\0xBE\0xBE\0xBE\0xBE\0xBE\0xBE\0xBE\0xBE" #PRE
130.2.3.4 "REMOTEAGENT\0xBE\0xBE\0xBE\0xBE\0xBE" #PRE
130.3.4.5 "SEATTLESERVER\0xBE\0xBE\0xBE" #PRE

NOTA: Debemos usar letras mayúsculas para el nombre del Agente, que
debe consistir de 16 caracteres rodeado de comillas dobles, con una
entrada #PRE para cada línea.

5. El comando NBTSTAT puede ser usado para eliminar y re-cargar la
caché LMHOSTS después de modificar el fichero LMHOSTS. Para
recargar la caché, teclear "nbtstat -R". Para ver la caché
teclear "nbtstat -c".

Una vez que la caché ha sido actualizada, debería ser posible la
conexión al Agente Remoto.

6. Si se usa protocolo NWLINK, el mecanismo de búsqueda de nombres
('NameQuery') debería tener éxito puesto que la gran mayoría de
los routers están configurados para retransmitir broadcasts
(paquetes de tipo 20).

Propiedades

Id. de artículo: 551014 - Última revisión: lunes, 15 de agosto de 2005 - Versión: 2.2
La información de este artículo se refiere a:
  • Microsoft Internet Information Server 1.0
  • Microsoft Internet Information Server 2.0
  • Servicios de Microsoft Internet Information Server 3.0
  • Microsoft SNA Server 2.1
  • Microsoft SNA Server 3.0
  • Microsoft SNA Server 3.0 Service Pack 4
  • Microsoft Systems Management Server 1.0 Standard Edition
  • Microsoft Systems Management Server 1.1 Standard Edition
  • Microsoft Systems Management Server 1.2 Standard Edition
  • Microsoft TCP/IP para Windows para Trabajo en Grupo 3.11
  • Microsoft TCP/IP para Windows para Trabajo en Grupo 3.11a
  • Microsoft TCP/IP for Windows for Workgroups 3.11b
  • Microsoft Windows 95
  • Microsoft Windows para Trabajo en Grupo 3.11
  • Microsoft Windows NT Server 3.5
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 3.5
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Palabras clave: 
monitor capture trafic network KB551014

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com