Der Port Reporter von Microsoft protokolliert die Aktivitäten der TCP- und UDP-Ports und listet über einen bestimmten Zeitraum die Netzwerkaktivitäten sowie die zugehörigen Anwendungen auf. Zusätzlich überwacht er das Wechseln der Netzwerkverbindungen von Host-Anwendungen, wenn diese eine neue Verbindung annehmen. Damit lässt sich herauszufinden, von welchen Anwendungen aus Netzwerkverbindungen aufgebaut oder akzeptiert werden. Zusätzlich werden die von den Anwendungen verwendeten DLLs protokolliert, den Code der auf das Netzwerk zugreift zu identifizieren.

Leider können dabei die Protokolle sehr umfangreich werden, abhängig vom Netzwerkverkehr, was die manuelle syntaktische Analyse aufwändig werden lässt. Deshalb gibt es ein weiteres kostenloses Tool von Microsoft, den Port Reporter Parser. Mit ihm lassen sich die Daten interpretieren, analysieren und in einem optimierten Format darstellen. Beide Tools sollen im folgenden Artikel näher beschreiben werden.

Auswertung

Der Port Reporter erzeugt drei unterschiedliche Protokolldateien, die zur Auswertung zur Verfügung stehen:

Die INITIAL -Protokolldatei enthält Daten über Ports, die zum Startzeitpunkt des Tools bereits aktiv direkt adressiert werden konnten. Sie sieht aus wie eine sehr schnelle Ausgabe des Netstat-Befehls und zeigt alle Netzwerkaktivitäten. Dazu gehören den Process Identifier (ID), der Port sowie lokale und Remote-Adressen. Darüber hinaus bietet dieser Bericht nicht nur Informationen über die Host-Anwendungen sondern auch zu all ihren DLLs. Damit lassen sich relativ einfach schädliche Anwendungen wie Trojaner identifizieren.

Die Protokolldatei PORTS listet jede neue Netzwerkverbindung. Sie zeigt das Datum, den Zeitpunkt des Verbindungsaufbaus, das verwendete Protokoll (TCP oder UDP), den Port über den die Verbindung stattfand, die Quell- und Zieladresse, die Anwendung selbst und schließlich den Benutzernamen, unter dem diese Anwendung läuft. Beim öffnen des Internet Explorer (IE) geöffnet und einer Anmeldung am MSN Messenger, fügt der Port Reporter sofort Informationen darüber in das Protokoll ein. Die Protokolldatei wird im Comma-Separated Value (csv) -Format gespeichert, was den Import der Daten in eine Excel-Tabelle zur Analyse vereinfacht. Da der Port Reporter als Dienst läuft, protokolliert er die Daten unauffällig im Hintergrund. Auf diese Weise ist es möglich, zu bestimmten Zeitpunkten und auf einem bestimmten System zu überprüfen, welche Netzwerkanwendungen über eine gewisse Zeitspanne laufen.

In der Protokolldatei Ports ist jede neu aufgebaute Netzwerkverbindung zu finden.