Мастера-помощники
Сетевой монитор SMS 1.2 включает несколько мастеров, которые помогут найти некоторые важные данные. Это отчеты (они не являются в действительности мастерами) верхнего пользователя и распределения протокола. Другие функции мастеров — поиск всех маршрутизаторов в файле перехвата и поиск всех имен в файле захвата, а также они могут разрешать адреса по именам. Недостаток этих отчетов в том, что не существует способа сохранить информацию помимо печати экрана (print screen) для перехвата отчета с экрана. Это существенный недостаток, так как часто полезно распечатать данные, в частности, отчет верхнего пользователя. Рассмотрим отчет верхнего пользователя.
Отчет верхнего пользователя активируется в режиме вывода (когда выводятся перехваченные данные в противоположность просмотру статистики сеанса). Отчет выбирается из меню Tools и имеет возможность показать, сколько выводить верхних пользователей, и основывается ли список на адресе канала данных или на адресе MAC. Можно также применить текущий фильтр вывода или выбрать игнорирование фильтра вывода и основывать отчет на всем файле перехвата. Как можно видеть на рис., отчет перечисляет имя, адрес, число кадров и процент числа кадров и размера кадра. Эта информация может помочь при планировании и расширении сети, а также при обнаружении нарушений эксплуатации сети.
Отчет о распределении протоколов доступен таким же образом, как и отчет верхних пользователей: из меню Tools в режиме вывода. Возможности этого отчета включают перечисление всех протоколов в кадре, сообщение о последнем протоколе в кадре и сообщение о первом действующем в кадре протоколе. Кроме того, можно выбрать дальнейшее ограничение на отчет, применяя текущий фильтр вывода к отчету. Этот отчет может стать ущественной помощью при попытке выявить аномалии в сети. Однако чтобы эта информация была наиболее полезна, необходимо знать, каким является нормальное распределение для сети. Если, например, сеть обычно имеет очень немного кадров ARP_RARP, но внезапно ими заполняется, есть хорошая исходная точка для поиска. Если же произошел внезапный всплеск пакетов UDP, это будет иметь другое значение. Знание того, что является нормальным для сети, трудно переоценить. Как можно видеть на рис. отчет перечисляет каждый протокол, число кадров и байтов и процент для перехваченных данных.
Поиск сетевых адресов по имени позволяет вводить имя компьютера, а поиск найдет соответствующий адрес МАО Это не очень сложно выполнить в сети TCP/IP, так как можно сделать ping имени хоста и затем получить информацию из кэша ARP с помощью команды ARP -а. Однако он может также использовать SAP, DNS и запрос базы данных SMS, поэтому это может быть более мощное решение. Если происходит обычная проверка адреса MAC, часто быстрее перейти в окно CMD и сделать ping и ARP -а. Как мы видим на рис, когда имя разрешено, будет выведена вся найденная о нем информация. Выбор только тех служб, которые присутствуют в сети, может оптимизировать этот процесс. Кроме того, можно ускорить процесс, делая локальную базу данных ADR первым источником, который будет запрашиваться с помощью кнопок "плюс" и "минус" рядом окном выбора службы.
