Netwerkverkeer vastleggen en analyseren met Microsoft Network Monitor
Als je ooit het vermoeden hebt gehad dat een app of proces je bandbreedte opslokt of vreemde dingen op de achtergrond doet, dan kan een tool zoals Netwerkmonitor een redder in nood zijn. Het is een beetje ouderwets, niet zo geavanceerd als Wireshark, maar het is superlicht en maakt het makkelijker om te zien wat er op je netwerk gebeurt zonder te verdwalen in alle pakketdetails. Het probleem is dat Windows Netwerkmonitor niet echt up-to-date heeft gehouden, waardoor het soms wat onhandig aanvoelt en het vinden van de juiste filters een hele klus kan zijn. Maar als je de basis eenmaal onder de knie hebt, krijg je echt inzicht in welke programma’s met de buitenwereld communiceren – zoals het opsporen van een verdachte e-mailafzender of het oplossen van verbindingsproblemen.
Dit is met name handig wanneer je wilt achterhalen welk proces massamails verzendt, of wanneer malware of een malafide app gegevens probeert te onderscheppen. Het idee is om realtime verkeer op specifieke poorten (zoals SMTP-poorten 25, 587 of 465) vast te leggen en vervolgens te zien welk proces de pakketten heeft verzonden. Belangrijke tip: het correct instellen van het filter is cruciaal, anders word je overspoeld met gigabytes aan ongefilterde data. Het is dus een kwestie van de juiste balans vinden tussen het filteren van alleen het uitgaande SMTP-verkeer en het overzichtelijk houden van de datadump.
Hoe u netwerkmonitoring en netwerkverkeer in Windows kunt herstellen met Microsoft Network Monitor
Download en installeer Netwerkmonitor
- Download eerst het installatieprogramma (zo heet het
NM34_x64.exe) van de officiële Microsoft-website of gebruik deze link. Als je liever de opdrachtregel gebruikt, kun je het ookwinget install Microsoft. NetMonin PowerShell uitvoeren. In sommige gevallen werkt de WinGet-opdracht prima, maar soms moet je het handmatig downloaden, vooral op een server of in een andere ongebruikelijke situatie.
Zodra je het hebt, voer je het installatieprogramma uit als beheerder. Het heeft waarschijnlijk verhoogde rechten nodig om correct verbinding te maken met de netwerkstuurprogramma’s.
Stel een opnamesessie in met aangepaste filters.
- Wanneer Netwerkmonitor actief is, klikt u op Nieuwe opname. Het programma begint meestal meteen met het vastleggen van al het netwerkverkeer, wat niet ideaal is als u alleen uitgaande SMTP-verbindingen wilt vastleggen. Klik daarom op Opname-instellingen en kies vervolgens Filter laden → Standaardfilters.
- Selecteer TCP -> TCP-poorten — dat is de snelste manier om het e-mailverkeer op SMTP-poorten te filteren.
Voor de filterregel ziet u een standaardsjabloon zoals tcp.port == 80. Vervang of bewerk deze om SMTP-poorten op te nemen:
(tcp.port == 25 OR Payloadheader. LowerProtocol.port == 25) OR (tcp.port == 587 OR Payloadheader. LowerProtocol.port == 587) OR (tcp.port == 465 OR Payloadheader. LowerProtocol.port == 465) Wil je het wat geavanceerder aanpakken en alleen verkeer van een specifiek IP-adres weergeven? Voeg dan dit toe:
AND (IPv4. SourceAddress == 192.168.1.100) Vervang dit 192.168.1.100door het IP-adres van uw server of laat het weg om al het uitgaande SMTP-verkeer vast te leggen, ongeacht de bron. Nadat u dit filter hebt ingevoegd, klikt u op Toepassen. Het is misschien wat technisch, maar het werkt: filteren helpt u voorkomen dat u overspoeld wordt met irrelevante gegevens, vooral als u de capture langere tijd laat draaien.
Begin met vastleggen, reproduceer je scenario en analyseer het vervolgens.
- Klik op Start in de werkbalk. Doe nu wat u wilt controleren: verstuur testmails, voer de app uit of wacht tot de bug zich vanzelf voordoet. Hoe langer u het laat draaien, hoe meer gegevens u verzamelt, maar let op: de schijfruimte kan snel vol raken als u niet oplet.
Wanneer er voldoende gegevens zijn verzameld, klikt u op Stop. U kunt dit vervolgens opslaan als een .CAPbestand voor latere beoordeling of directe analyse.
Open je dumpbestand en bekijk de pakketdetails. Als je filter goed werkte, zie je SMTP-opdrachten, authenticatiestappen en mogelijk zelfs de beoogde e-mailadressen. Het veld ‘Procesnaam’ geeft aan welk uitvoerbaar bestand de verbinding heeft gestart, zoals blat.exeof powershell.exe. Dat is vaak een duidelijke aanwijzing over wat er daadwerkelijk verantwoordelijk is voor die e-mails.
Pro-tip: als je dieper wilt ingaan op andere protocollen, zoals DNS of SMB, voeg dan gewoon hun specifieke poorten of IP-adressen toe aan de filters. Je kunt zelfs filteren op bestemmings-IP- of MAC-adres, wat helpt om het verkeer naar een specifieke server of apparaat te beperken.
En natuurlijk kunnen filters worden opgebouwd met logische operatoren, dus het combineren van voorwaarden is niet moeilijk als je het eenmaal door hebt. Bijvoorbeeld:
IPv4. SourceAddress == 192.168.1.101 && tcp.port == 443Dit soort gedetailleerde filtering maakt Network Monitor krachtig, maar ook enigszins complex. In de ene configuratie werkte het goed, in de andere… minder, vooral als er meerdere netwerkinterfaces bij betrokken zijn of als er gegevens worden vastgelegd op een druk netwerk.
Extra tips en trucs
- Gebruik het venster ‘Weergavefilter’ om vastgelegde gegevens te filteren zonder de opname te onderbreken. Klik op een pakket en kies vervolgens ‘Toevoegen aan weergavefilter’.
- Als je het netwerkverkeer offline wilt analyseren, sla je de opname op als .CAP- bestand en laad je het in Wireshark of een ander programma. Wireshark biedt soms meer opties voor complexe analyses, mocht je daar interesse in hebben.
- Vergeet niet dat Windows ook een ingebouwd commandoregelprogramma heeft, genaamd Pktmon, waarmee je netwerkverkeer eenvoudiger en zonder grafische interface kunt weergeven. Als je vertrouwd bent met de commandoregel, is het wellicht de moeite waard om hier eens naar te kijken.
Het vastleggen van netwerkverkeer is niet perfect – het is een kwestie van filters en geduld – maar het is van onschatbare waarde bij het omgaan met vreemde e-mailspam, malware of gewoon bij het oplossen van rare netwerkproblemen. Wees voorbereid op wat vallen en opstaan, en onthoud dat een goede filterconfiguratie je behoedt voor een enorme hoeveelheid data van 50 GB die je moet doorzoeken.
Samenvatting
- Download en installeer Network Monitor of gebruik Winget.
- Stel aangepaste filters in voor SMTP-poorten en optioneel bron-IP-adres.
- Start de opname, reproduceer het probleem of wacht, en stop dan.
- Analyseer datapakketten en identificeer procesnamen of verdachte activiteiten.
Samenvatting
Dit hele proces kan in eerste instantie wat technisch lijken, maar zodra de filters goed zijn ingesteld, wordt het een krachtige manier om netwerkproblemen of vreemd gedrag op te sporen. Soms maakt het al een wereld van verschil om het verkeer te beperken tot uitgaande SMTP-verkeer en te achterhalen welk proces daarvoor verantwoordelijk is. Zoals bij de meeste probleemoplossing draait het om geduld en het methodisch filteren van de ruis. Hopelijk helpt dit iemand om dat e-mailspam-mysterie voorgoed op te lossen – in ieder geval op hun eigen netwerk.