Está en la página 1de 7

El propsito del siguiente artculo es proporcionarle la informacin

necesaria para capturar trfico de red en una Red de Area Local (LAN)
usando Microsoft Network Monitor.

El texto del siguiente artculo es un extracto del fichero de Ayuda de
Microsoft Network Monitor, que debera ser referenciado para
instrucciones ms detalladas del uso.
Ms informacin


Network Monitor es una herramienta de diagnstico de red que permite
monitorizar LANs y proporciona una visualizacin grfica de las
estadsticas de la red. Los administradores de red pueden usar estas
estadsticas para realizar tareas de resolucin de problemas
rutinarias, tales como la localizacin de un servidor fuera de
servicio/cado o aquel que est recibiendo un nmero desproporcionado
de peticiones de trabajo.

Mientras se est recolectando los paquetes de datos de red, Network
Monitor visualiza los siguientes tipos de informacin:

- La direccin fuente del ordenador que enva el frame a la red.
(Esta direccin es una direccin hexadecimal (o base-16) nica,
que identifica el ordenador en la red).

- La direccin destino del ordenador que recibe el frame.

- Los protocolos usados para enviar el frame.

- Los datos, o porcin del mensaje que est siendo enviado.

El proceso por el cual Network Monitor colecciona esta informacin se
denomina "captura". Por defecto, Network Monitor recoge estadsticas
de todos los frames que detecta en la red en un 'buffer de captura',
que es un rea de almacenamiento reservada en memoria. Para capturar
estadsticas de slo un subconjunto especfico de frames, podemos
aislar dichos frames mediante el diseo de un 'filtro de captura'
(capture filter). Cuando hayamos finalizado la captura de informacin,
podemos disear un 'filtro de visualizacin' (display filter) para
especificar qu cantidad de informacin capturada queremos que Network
Monitor visualice en la ventana 'Frame Viewer".

Para usar Network Monitor, el ordenador debe tener una tarjeta de red
que soporte trabajar en "promiscuous mode". Si estamos usando Network
Monitor en un ordenador remoto, la workstation local no necesita una
tarjeta de red que soporte dicho modo de trabajo, pero s el ordenador
remoto.

Para capturar trfico a travs de la red, o preservar recursos
locales, usar el "Network Monitor Agent" para capturar informacin
usando un ordenador Windows NT remoto. Cuando realizamos una captura
de forma remota, Network Monitor Agent recoge estadsticas desde un
ordenador remoto, y a continuacin las enva al ordenador local, dnde
son visualizadas en la ventana local de Network Monitor.

Una vez que los datos han sido capturados, bien local o remotamente,
los datos pueden ser guardados a un fichero de texto o de captura, y
podrn ser posteriormente examinados por administradores de red
especializados en el anlisis de trfico de red.

NOTA: La funcionalidad bsica de Network Monitor, descrita en la
Ayuda, es soportada por el Departamento de Soporte Tcnico de
Microsoft. Sin embargo, tareas dependientes de la red, tal y como la
interpretacin de datos de la captura de red, NO estn soportados. El
Network Monitor Agent est soportado en Windows NT, pero NO est
soportado en estaciones de trabajo Windows 3.1 o Windows Trabajo en
Grupo 3.11.

CREACIaN DE UNA LISTA DE DIRECCIONES (ADDRESS LIST)

Para usar pares de direcciones en un Filtro de Captura, deberamos
primero construir la base de datos de direcciones. Una vez que dicha
base de datos est construida, podremos usar las direcciones listadas
en dicha base de datos para especificar pares de direcciones en el
Filtro de Captura.

Para crear la 'Lista de Direcciones', siga estos pasos:

1. En el men 'Capture', seleccionar 'Start'. Opcionalmente, Abrir
un fichero .CAP en la ventana 'Frame Viewer'.

2. Cuando hayamos finalizado la captura, seleccionar 'Stop' y
'View' en el men 'Capture' para visualizar la ventana 'Frame
Viewer'.

3. Del men 'Display', seleccionar 'Find All Names'. Network
Monitor procesa los frames y los aade a la base de datos de
direcciones.

4. Cerrar la ventana 'Frame Viewer' y visualizar la ventana
'Capture'.

5. Del men 'Capture', seleccionar 'Filter' para visualizar el
cuadro de dilogo 'Capture Filter'.

6. En el cuadro de dilogo 'Capture Filter', hacer doble-clic sobre
la lnea 'Address Pairs', o seleccione 'Address' en el grupo
'Add'.

Network Monitor visualizar la base de datos de direcciones que acaba
de crear. Puede usar los nombres en dicha base de datos para
especificar pares de direcciones al crear el filtro de Captura.

CAPTURA DE DATOS ENTRE DOS ORDENADORES

Para monitorizar el trfico de red entre dos ordenadores, siga estos
pasos:

1. Del men 'Capture', seleccionar 'Filter' para visualizar el
cuadro de dilogo 'Capture Filter'.

2. Hacer doble-clic en la lnea ANY<->ANY para visualizar el cuadro
de dilogo 'Address Expression'.

3. En el cuadro de dilogo 'Address Expression', en la ventana de
la izquierda seleccionar la direccin de un ordenador.

4. En el cuadro de dilogo 'Address Expression', en la ventana de
la derecha seleccionar la direccin de otro ordenador. Una vez
realizado esto, escoger el botn 'Next' en la parte de arriba de
la ventana 'Address Expression' para tener ms instrucciones.

5. En la ventana 'Direction', del cuadro de dilogo 'Address
Expression', escoger uno de los siguientes smbolos:

- Escoger el smbolo '<-->' para monitorizar el trfico que
atraviesa en cualquier direccin entre las direcciones de
ordenadores seleccionadas.

- Escoger el smbolo '-->' para monitorizar slo el trfico
que atraviesa en una determinada direccin, desde la
direccin del ordenador seleccionado en la ventana de la
izquierda a la direccin seleccionada en la ventana de la
derecha.

6. Pulsar OK.

7. En el cuadro de dilogo 'Capture Filter', pulsar OK.

8. En el men 'Capture', seleccionar 'Start'.

ALMACENAMIENTO DEL TRFICO DE RED (DATOS) CAPTURADOS

Usar el comando 'Save As' del men 'File' para guardar las
estadsticas de la captura a un fichero de captura o para guardar los
cambios a ficheros de captura que hayamos modificado. Posteriormente,
para ver los frames guardados al fichero, podemos abrir dicho fichero
y visualizar las estadsticas en la ventana 'Frame Viewer' de Network
Monitor.

Para guardar los frames capturados a un fichero de captura (.CAP) o a
un fichero de texto (.TXT):

1. En el men 'File' seleccionar 'Save As' o pinchar en el icono
'File Save' de la barra de herramientas.

2. Para guardar el fichero, hacer una de las siguientes
alternativas:

- Para guardar el fichero en la unidad y directorio
actuales, en el cuadro 'File Name' especificar un nombre
de fichero y una extensin. Si estamos guardando un
fichero que hemos modificado, no podremos guardarlo con su
nombre original en el mismo directorio.

- Para guardar el fichero en una unidad de red a la que
estemos conectados, pinchar en el botn 'Network' y usar
el cuadro de dilogo 'Connect Network Drive' para
establecer la conexin.

- Para guardar el fichero a una unidad o directorio distinto
del actual, en el cuadro 'Drives', seleccionar 'New
Drive'. En el cuadro 'Directories', seleccionar 'New
Directory'. Teclear el nombre del fichero.

3. Para guardar slo aquellas estadsticas de frames que cumplan
las especificaciones del 'filtro de visualizacin' actual,
escoger 'Filtered'. Esta opcin est slo disponible si estamos
guardando los datos desde la ventana 'Frame Viewer'.

4. Para guardar un rango de frames particular, teclear el nmero de
frame inicial y final en los cuadros 'From' y 'To'.

5. Pulsar OK.

NOTA: Cuando el rango de frames es guardado a un fichero de captura,
los nmeros asociados con los frames son modificados; en un fichero de
captura, los nmero de frames siempre comienzan con 1, sin importar el
nmero asociado al frame original. De forma similar, si aplicamos un
'filtro de visualizacin' y a continuacin guardamos los frames
filtrados, los nmeros de frames en el fichero de captura comenzarn
con 1. Sin embargo, si usamos las opcin 'Print to File' del cuadro de
dilogo 'Print', los nmeros de frame originales asociados a los
frames son preservados.

CAPTURA DE TRFICO DE RED EN ENTORNO WAN

En algunas ocasiones, puede ser necesario tomar una captura de trfico
de red entre dos ordenadores que estn separados por uno o ms
routers. En estos casos, el Ingeniero de Soporte puede necesitar
analizar todo el trfico de red entre el primer ordenador y el router
ms cercano, y todo el trfico de red entre el segundo ordenador y el
router ms cercano. En la mayora de ocasiones esto se realiza para
observar si hay paquetes de red perdidos o corruptos en algn lugar
entre los routers. Para hacer que estas trazas sean consistentes y
para permitir que sean interpretadas simultneamente, los relojes de
sistema deben ser sincronizados antes de tomar la traza entre los dos
ordenadores.

Usar los siguientes pasos para sincronizar la hora entre los dos
ordenadores (objeto de la captura):

1. Seleccionar el ordenador contra el que vamos a sincronizar la
hora.

2. Desde el otro ordenador, teclear el comando:

net time \\<NombreOrdenador> /set /yes

dnde <NombreOrdenador> es el nombre del ordenador seleccionado
en el paso 1.

3. Verificar que ambos ordenadores tienen almacenado la misma hora,
tecleando el comando TIME en ambos.

4. Proceder con la realizacin de la captura del trfico de red.

SELECCIONAR LAS DIRECCIONES MAC (MEDIA ACCESS CONTROL)

Si el ordenador a ser monitorizado est ejecutando...

- Cliente de Red MS-DOS, ejecutar Microsoft Diagnostics (MSD) en
dicho ordenador.

- Microsoft Windows Trabajo en Grupo 3.11 (con TCP/IP), teclear
IPCONFIG /ALL desde la lnea de comandos.

- Microsoft Windows 95, ejecutar WINIPCFG desde la lnea de
comandos.

- Windows NT, desde la lnea de comandos de la consola local,
ejecutar uno de estos comandos:

NET CONFIG SERVER
IPCONFIG /ALL
IPXROUTE config
arp -a
Getmac.exe (incluido en el Resource Kit de Windows NT Server)
WinMSD

CONEXIaN A UN "NETWORK MONITOR AGENT" REMOTO A TRAVS DE UN ROUTER

Network Monitor tiene la habilidad de capturar trfico de red en una
subred distinta mediante la conexin a un sistema que est ejecutando
el 'software de AGENTE remoto' en aquella sured. El software (Network
Monitor) Agent est incluido en Windows NT Workstation y Server.

En Network Monitor, seleccionar 'Networks' del men 'Capture' para
visualizar "remote" como una de las posibles opciones. Proporcionar el
nombre del ordenador (con o sin "\\") con cuyo AGENTE nos vamos a
conectar.

Para que Network Monitor se pueda conectar al "Remote Agent" a travs
de un router, el nombre de ordenador del Remote Agent debe ser
resuelto. Si el nombre no puede ser resuelto, obtendremos el siguiente
mensaje de error:

"Failure connecting to <nombre de ordenador del Agent>"

El Remote Agent registra su nombre NetBIOS de 16 caracteres de
longitud. Consiste del nombre del ordenador seguido por 0xBE
(caracteres extendidos).

Por tanto, un ordenador llamado "HITME" sera:

"HITME\0xBE\0xBE\0xBE...".

Para conectarse al Remote Agent a travs de un router, proceder de la
siguiente forma:

1. Asegurarse de que el 'Manager' (ordenador que ejecuta Network
Monitor) y el 'Agente' (ordenador que ejecuta el Remote Agent)
tienen un protocolo rutable instalado (por ejemplo TCP/IP o
NWLINK).

2. Instalar el software 'Network Monitor Agent' en el ordenador
remoto.

3. Arrancar el servicio 'Network Monitor Agent', bien desde la
lnea de comandos (usando el comando NET START NMAGENT) o desde
Panel de Control / Servicios, seleccionado dicho servicio y
pulsando "Start".

4. Si estamos usando protocolo TCP/IP, tenemos dos formas de
resolver un nombre NetBIOS a su correspondiente direccin IP. Si
tanto el 'ordenador Manager' como el 'ordenador Agent' estn
usando WINS (Microsoft Windows Internet Naming Service), en ese
caso el nombre ser resuelto va WINS y WINS localizar el
agente remoto. Si no se usa WINS, entonces ser necesaria en el
'ordenador Manager' la existencia de un fichero LMHOSTS
con una entrada especial para el 'ordenador Agente'.

Es decir, si usamos TCP/IP pero no hay disponible ningn
servidor WINS, deberemos aadir el nombre del 'ordenador Agente'
al fichero LMHOSTS. Los caracteres extendidos (no-imprimibles)
pueden ser aadidos usando el formato \0xnn, donde nn representa
el cdigo ASCII del caracter.

Ejemplo de entradas en fichero LMHOSTS:

130.1.2.3 "MYAGENT\0xBE\0xBE\0xBE\0xBE\0xBE\0xBE\0xBE\0xBE\0xBE" #PRE
130.2.3.4 "REMOTEAGENT\0xBE\0xBE\0xBE\0xBE\0xBE" #PRE
130.3.4.5 "SEATTLESERVER\0xBE\0xBE\0xBE" #PRE

NOTA: Debemos usar letras maysculas para el nombre del Agente, que
debe consistir de 16 caracteres rodeado de comillas dobles, con una
entrada #PRE para cada lnea.

5. El comando NBTSTAT puede ser usado para eliminar y re-cargar la
cach LMHOSTS despus de modificar el fichero LMHOSTS. Para
recargar la cach, teclear "nbtstat -R". Para ver la cach
teclear "nbtstat -c".

Una vez que la cach ha sido actualizada, debera ser posible la
conexin al Agente Remoto.

6. Si se usa protocolo NWLINK, el mecanismo de bsqueda de nombres
('NameQuery') debera tener xito puesto que la gran mayora de
los routers estn configurados para retransmitir broadcasts
(paquetes de tipo 20).