Установка сетевого монитора: обнаружение других мониторов
Чтобы защитить свою сеть от неавторизованного просмотра, сетевой монитор может легко определить другие экземпляры программы в сети. Он может сделать это независимо от того, работает или нет программа. Как показано на рис., если драйвер установлен на машине, он будет сообщать имя машины, имя зарегистрированного на компьютере пользователя, адрес Ethernet машины, номер версии программы и перехватывает ли программа данные, или просто установлена. Чтобы получить эту информацию, необходимо выбрать в меню Tools пункт Identify network monitor users (Идентифицировать пользователей сетевого монитора). Важно отметить, что если имеются сетевые сегменты, разделенные маршрутизатором, который не пересылает мультивещательные сообщения, то невозможно будет определить установки сетевого монитора в другом сегменте, не соединившись с этим сегментом. Это связано с тем, что Netmon использует суффикс NetBIOS для объявления о своем присутствии в сети. Суффикс BE объявляет агента сетевого монитора, а суффикс BF объявляет в сети само приложение сетевого монитора. Если они не пересылаются, то необходимо будет соединиться с определенным сегментом, чтобы определить незаконные установки этих инструментов.
После выбора пункта меню "Определить пользователей сетевого монитора" машина Netmon посылает запрос станции BONE, как показано в следующей распечатке. Протокол BONE (сокращение от Bloodhound Oriented Network Entity, что может быть приблизительно переведено как "Сетевая ищейка") используется сетевым монитором, чтобы он мог общаться. Этот ьапрос станции является очень маленьким кадром многоадресной рассылки 802.3, который использует только 29 байтов.
Ответ направляется в машину, которая послала запрос, и является маленьким кадром 802.3, в этот раз требующим около 125 байтов. Ответ сообщает статус драйвера; 0x00000003 означает, что драйвер установлен и активен, но не перехватывает данные. Он содержит версию драйвера, машину, адрес MAC машины и имя любого пользователя, которое было сконфигурировано при конфигурировании драйвера.
