​Hola, en este Post me gustaría mostraros el uso de Microsoft Message Analyzer para que podamos ver el tráfico que se genera entre distintas redes.

Para ello tengo 3 máquinas virtuales:

  • La primera LON-DC1, es del dominio Adatum.
       
  • La segunda LON-SRV3, es del dominio Contoso.
       
  • La tercera LON-RVR, hará la función de router, el router lo hemos configurado con 2 tarjetas de red, una la que tiene el dominio Adatum y la otra con el dominio Contoso.

Probamos que desde Adatum tenemos conexión a Contoso y a la inversa.

 
Ahora en el router vamos a ejecutar la aplicación Microsoft Message Analyzer, pulsamos en New Session.

  ​​​

Tenemos varias características dentro de la aplicación:

  • Live Trace: una traza en vivo.
  • Files: el tráfico que en su día capturamos y lo quisimos guardar, lo guarda en formato tcpdum que se ha convertido en un formato estándar y se puede abrir con el programa wireshark o a la inversa, herramientas de Linux porque utilizan el mismo formato a la hora de capturar paquetes. Analizar tráfico en una red.
  • Analizar logs  de eventos.
  • Trabajar desde Powershell.
  • Trabajar desde SQL.

Nosotros nos quedamos con la traza, live traces.

Ahora tenemos que elegir un escenario:

Escenarios:

Entre otros tenemos:

  • Filtros interfaces locales.
  • Interfaces de Lookpack.
  • Trafico cifrado para https.

Y a diferencia con wireshark:

  • Tráfico de bluetooth.
  • Tráfico de usb.
  • Tráfico de rpc.
  • Cifrar tráfico de samba.

Vamos a seleccionar el escenario Local Network Interfaces, como vemos en la imagen, es a partir de Windows 8.1 y de Windows Server 2012.

 

Pulsamos Start para que empiece a capturar el tráfico de red.

 


Si anteriormente hemos lanzado el proceso es posible que nos salga este error, lo cual nos va a impedir comenzar a ver el tráfico que se está generando.

 

Esto quiere decir que el programa sigue ejecutando el servicio, para pararlo lo vamos a hacer desde la herramienta powershell:

  • Primero vamos a ver el servicio que nos muestra el error, con el comando: Get-NetEventSession
  • Después de comprobar que ha encontrado el servicio, lo eliminamos con el comando: Remove-NetEventSession
 Y ya podemos lanzar sin problemas el servicio.

Ahora vamos a hacer un ping continuo a LON-DC1 y vamos a ver el tráfico que genera, también podríamos hacer un ping continuo desde a LON-SRV3, puesto que están conectadas entre sí y como vimos anteriormente, responden a ping entre las dos.

 

Y ya podemos ver en la aplicación MMA el tráfico que se está generando, podemos observar que tanto el dominio de Adatum (192.168.10.10) como el dominio Contoso (172.16.0.10) hacen la función de “Source” lanzando el ping y siendo destinatario la maquina contraria.

 

Espero que os sirva para poder ver el tráfico que se genera en vuestro router.

Un saludo.​

 

Autor: Daniel Escribano Pérez

Curso: MCSA+MCSE, Tajamar 2015/16