Je bent zelf niet aan het internetten, maar toch wijzen de leds op je kabelmodem of router op heel wat drukte. Kom erachter welke programma’s of services daarvoor verantwoordelijk zijn en wat ze precies uitvoeren!
Lees ook: 20 tips voor snel en stabiel internet
In deze workshop gaan we eerst na of het wel degelijk je eigen pc is die achter het netwerkverkeer zit en om hoeveel data het zoal gaat. Vervolgens gaan we na welk processen (programma’s of services) dat verkeer genereren en met welke hosts een verbinding werd gelegd. Ten slotte bekijken we de netwerkpakketjes van zo’n verbinding ook even van binnenuit. Dat laatste vergt weliswaar een diepere kennis van netwerkprotocollen, maar het kan best ook leerzaam zijn voor wie daar niet zo goed in thuis is.
1. Netwerkactiviteit
Windows voorziet in een eigen tool waarmee je snel kunt nagaan of er netwerkverkeer is. Je start hiervoor Taakbeheer op met Ctrl+Shift+Esc. Voor een snelle blik op het actuele verkeer volstaat het de tab Netwerk te openen (zie je geen tabs, dubbelklik dan even op de bovenste witte rand). Je krijgt dan een grafiek van de activiteit van de verschillende netwerkadapters. Om de grafiek tijdelijk te bevriezen, open je het menu Beeld, Bijwerksnelheid, Onderbroken.
2. Processen
Je wilt natuurlijk ook weten welke processen je netwerkkaart aanspreken en in welke mate. In Windows kun je daarvoor terecht in Taakbeheer. Ga naar de tab Prestaties en klik op Broncontrole openen. Focus je hier vooral op het bovenste paneel: je ziet hier welke processen hoeveel bytes gemiddeld hebben verzonden en ontvangen gedurende de laatste minuut (het monitoren onderbreek je via het menu Controle, Controle stoppen).
Gaat je aandacht vooral naar één bepaald proces uit, plaats dan een vinkje naast dat proces. In het andere paneel krijg je nu alleen feedback rond dat proces te zien en het dataverkeer ervan lees je nu ook af in de oranje netwerkgrafiek. Wil je meer weten over (de aard van) het proces, rechtsklik er dan in het bovenste paneel op en kies Online zoeken: de standaard zoekmachine van je browser krijgt het dan doorgespeeld.
3. CurrPorts en IPNetInfo
Bij Netwerkactiviteit en TCP-verbindingen merk je ongetwijfeld ook externe adressen op, die dus buiten het ip-bereik van je eigen netwerkje liggen. Vooral bij verdachte processen kan het nuttig zijn uit te vissen met welke host een proces contact zoekt. Wij roepen in zo’n geval graag de hulp in van Currports en IPNetInfo, die je beide gratis kunt downloaden op nirsoft.net/utils. Je vindt hier telkens ook een Nederlandse taalbestandje. Pak de vier zip-bestanden uit – dat mag gerust naar dezelfde map. Vervolgens start je eerst IPNetInfo op (sluit het venster IP-adressen selecteren, maar houd het hoofdvenster geopend) en voer je daarna CurrPorts uit.
4. Externe hosts
CurrPorts geeft je meteen een overzicht van alle netwerkverbindingen op je systeem. In principe is dat een (statisch) snapshot, maar via Opties, Automatisch vernieuwen kun je een verversingfrequentie instellen. Heb je niet alle informatie nodig, haal dan via Beeld, Kolommen instellen overbodige kolommen weg. Laat zeker de kolom Netwerkadres staan, aangezien die je het ID-adres meedeelt van de host waarmee je systeem contact heeft gelegd. Betreft het een externe host en wil je daar meer feedback over, rechtsklik dan op die regel en kies IPNetInfo van NirSoft. IPNetInfo verstuurt dan een online whois-verzoek en geeft je, als het goed is, alle details over die host, vaak inclusief e-mailadressen en contactinformatie. Dat geeft je mogelijk een aardig idee over (de bedoelingen van) de netwerkverbindingen.
5. Extra opties
Zowel CurrPorts als IPNetInfo laten je toe de informatie in een handig html-rapport te gieten. Deze optie vind je bij beide tools in het snelmenu. CurrPorts bevat verder nog een handige functie voor als je wilt weten welke netwerkverbindingen een geopende toepassing heeft opgezet. Versleep het viziericoontje uit CurrPorts naar het venster van die applicatie, je browser bijvoorbeeld, om de netwerkverbindingen opgesomd te krijgen. Achter deze truc zit een eenvoudige filterregel. Klik maar even op het filtericoontje. Je ziet hier dan een filterregel als include:process:<naam_van_het_proces> (bijvoorbeeld: iexplore.exe). Je kunt hier ook eigen filters toevoegen om de resultaten verder af te bakenen – enige kennis van netwerkprotocollen is wel een pre. Eén voorbeeldje slechts: met de regel exclude:both:tcp:192.168.0.1-192.168.0.20 sluit je alle tcp-verkeer uit in beide richtingen (both), althans binnen het opgegeven ip-bereik. Meer uitleg en voorbeelden vind je op de site van de tool zelf.
6. Wireshark
Je weet intussen welk proces - op welke adapter - hoeveel netwerkverkeer genereert en met welke host(s) het een verbinding heeft opgezet. Ben je nog niet helemaal zeker van je zaak en wil je een blik werpen tot in de netwerkpakketjes zelf, dan dien je een netwerk sniffer / procotol analyzer in te zetten, zoals het gratis Wireshark (het vroegere Ethereal). Download de multiplatformtool op wireshark.org en installeer die met de standaardinstellingen (inclusief WinPcap). Na de installatie start je de tool op. Ga naar Capture, Interfaces. Klik op de Start-knop naast de (actieve) netwerkadapter waarvan je het verkeer wil monitoren. Wireshark treedt meteen in actie en afhankelijk van de netwerkdrukte op dat moment schieten er heel wat pakketjes aan je voorbij. Je kunt het proces echter op elk ogenblik stopzetten met Ctrl+I (of via het menu Capture, Stop).
7. Pakketanalyse
Wireshark op zich is niet zo moeilijk te bedienen, maar de interpretatie van de netwerkpakketten en -protocollen vergt, zoals gezegd, behoorlijk wat kennis. We kunnen je hier dan ook alleen maar een eerste aanzet geven. Zoals je merkt, verdeelt Wireshark de informatie over drie hoofdpanelen: bovenaan de pakketlijst (standaard in chronologische volgorde), in het midden de pakketdetails (van een geselecteerd pakketje) en onderaan de pakketbytes (met onder meer een hexdump van wat je in de bovenliggende panelen hebt geselecteerd). De kunst is vaak alleen die pakketten eruit te lichten die je nader wilt bestuderen. Gelukkig heeft Wireshark wel verschillende filtermogelijkheden.
8. Pakketfilters
Het filteren van pakketten kan op twee niveaus gebeuren: tijdens het capturen zelf of tijdens de weergave op het scherm. Beginnen we met de capturefilters. Open hiervoor Capture, Capture Filters. Selecteer hier een vooringesteld filter, zoals HTTP TCP port (80) als je vooral in webverkeer geïnteresseerd bent. Eigen filters zijn natuurlijk ook mogelijk, als je je de syntax eigen maakt. Met src net 192.168 bijvoorbeeld capture je alleen pakketjes als die afkomstig zijn van machines die met ip-adres 192.168 beginnen.
Een andere mogelijkheid is dat je alleen een selectie laat weergeven. Dat doe je via een weergavefilter, die je bovenaan de pakketlijst vastlegt in het Filter-veld (voer die uit met Apply). Tik je bijvoorbeeld http in, dan kleurt de regel groen (syntax is correct). Tik je http. in, dan krijg je in een uitklapmenu heel wat mogelijke filterregels te zien die met http. beginnen. Ook handig: rechtsklik je in de pakketlijst bijvoorbeeld op een destination-adres en kies je Apply as Filter, Selected dan wordt meteen gefilterd op dat adres (kies je Not Selected, dan krijg je alle pakketjes zonder dat bestemmingsadres te zien). Nu gaat geen enkel pakketje meer ongemerkt aan jou voorbij.