Network Monitor, ‘sniffer’ desarrollado por Microsoft

Network Monitor es un ‘sniffer’ o programa de análisis de tráfico de red desarrollado por Microsoft, y el cual no tiene nada que envidiar al archiconocido ‘WireShark’, teniendo incluso características que lo hacen más potente que este último a la hora de realizar determinadas tareas como el análisis de malware o procesos.

Esta característica se basa en la estructura de árbol que realiza para la diferenciación de los paquetes, teniendo dos grupos principales, ‘My Traffic’ – relativo a las conexiones entrantes o salientes de nuestro equipo – y ‘Other traffic’ – relativo a las conexiones que no están interactuando con nuestro equipo. En la siguiente captura de pantalla se puede ver un ejemplo de este sistema de organización.

clip_image001

Figura 1: Organización de conexiones de red en Network Monitor
Tras tener una visión general de los procesos que se están comunicando a través de la interfaz de red vemos ‘prablinha.exe’, un malware con finalidad educativa, el cual fue instalado en el equipo intencionadamente para llevar a cabo un estudio de este proceso. Es aquí donde entra en juego la principal característica de ‘Network Monitor’, permitiendo ver de una manera muy esquemática las conexiones que ha lanzado el proceso seleccionado, como se ve a continuación.

clip_image003

Figura 2: Conexiones de un proceso
Adicionalmente, también dispone de numerosas funcionalidades como distintas plantillas de visualización de los paneles, ‘parsers’ o identificación de una gran cantidad de protocolos, un sistema de plugins, y un completo sistema de filtrado por protocolo, similar a la siguiente captura, donde se ve cómo se está realizando un filtrado para mostrar únicamente las peticiones HTTP que contienen un código de respuesta ‘200 OK’.

clip_image005

Figura 3: Filtrado de paquetes
Tal y como habéis podido observar, Network Monitor permite de una forma ágil y sencilla la visualización de las conexiones de cada uno de los procesos, pudiendo así identificar el malware más fácilmente. Sin duda se trata de un analizador de red poco conocido, pero de gran potencia.