So funktioniert Network Monitor

Die Oberfläche von Network Monitor sieht standardmäßig folgendermaßen aus: In der Mitte rechts das Fenster Frame Summary mit der Übersicht über alle mitgeschnittenen Traffic-Frames. Zu jedem dieser Mitschnitte gibt es eine laufende Nummer, Zeitangabe, die Angaben des Prozesses (also der Anwendung), zu dem der Frame gehört, Protokollname, Quell- und Ziel-IP-Adresse und weitere Details wie Request oder Response – sprich: ob Sie eine Anfrage gestellt oder eine Antwort erhalten haben.

Darunter links befindet sich das Fenster Frame Details mit Detailanangaben zu dem ausgewählten Frame. Wenn Sie mit der rechten Maustaste in das Frame Details-Window klicken und "Go To Data Field Definition" oder "Go To Data Type Definition" wählen, bekommen Sie den Code aus den NPL Parsern angezeigt. Ebenso lässt sich per rechten Mausklick ruckzuck ein Filter auf der Basis eines Detailwerts definieren.

Damit Sie unter Frame Details auch wirklich soviele Informationen bekommen, ist eine passender Parserdatei für das jeweilige Protokoll erforderlich. Für alle gängigen Protokolle existieren derartige Parserdateien, man könnte sie aber auch selbst programmieren. Für mehr als 300 Netzwerkprotokolle sind passende Analysemodule dabei. Rechts von Frame Details befinden sich die Hex Details, also der Inhalt des ausgewählten Frames als Hexadezimalcode und als Ascii.

Oberhalb von Frame Summary ist das Fenster für die Filtersteuerung. Sie können hier unter den angebotenen Filtern wählen oder von Hand einen selbst definierten eingeben, zum Beispiel IPv4SourceAdress == 217.111.81.80 oder TCP.Port == 8010. Der mitgeschnittene Traffic lässt sich beispielsweise nach Programmnamen oder nach Prozess-ID filtern.

Links von diesen Fenstern finden Sie das Übersichtfenster für die Network Conversations. Hier treffen Sie die Entscheidung, ob der gesamte an Ihren Netzwerkschnittstellen eintreffende Verkehr oder nur er für Ihren Rechner bestimmte Traffic erfasst werden soll. Wenn Sie sich für letzteres entscheiden, reduziert sich der Mitschnitt deutlich und Sie bekommen tatsächlich nur die für Ihren PC bestimmten Pakete. So blendet Network Monitor zum Beispiel andere Broadcast-Pakete beispielsweise vom ARP- oder DHCP-Protokoll aus. Denn im Internet schwirren ständig Pakete herum, die für die Grundfunktionalität des Internets unverzichtbar sind, Sie aber für eine konkrete Analyse oft nicht interessieren werden.

Ihr als „My Traffic“ bezeichneter Verkehr wird von Network Monitor zudem übersichtlich nach den einzelnen Anwendungen wie Browser oder Instant Messenger aufgegliedert. Wenn Sie also nur der Traffic interessiert, der beispielsweise mit dem Instant Messenger Pidgin entsteht, dann wählen Sie einfach diesen Eintrag aus. Aufgepasst: Damit hier auch tatsächlich der gesamte Traffic zur Auswahl steht, darf kein Filter gewählt sein. Denn nur der vom Filter erfasste Traffic wird hier aufgelistet.

Zu jedem Eintrag (als Frame bezeichnet und durchnummeriert) können Sie kommentare abspeichern. Über den Button "Autoscroll" können Sie sich den jeweils jüngsten Traffic anzeigen lassen.