Возможно, наиболее мощным дополнительным свойством, предоставляемым полной версией сетевого монитора, является возможность соединяться с удаленными агентами, выполняющимися на других машинах. Делая это, можно увидеть сетевой трафик, обычно невидимый в сегментированной разделенной коммутаторами сети.
Используя свойство соединения с удаленной сетью, версия Netmon SMS может соединиться с другим сервером NT, рабочей станцией или машиной Windows 95 или 98, на которой установлен и выполняется агент сетевого монитора. Агент сетевого монитора устанавливается как служба Windows NT и при желании может быть настроен для автоматического запуска для облегчения использования удаленного поиска неисправностей. При желании служба может быть оставлена с ручным управлением и запускаться удаленно с помощью утилиты NETSVC из NT Resource Kit. Эта утилита позволяет запрашивать, перечислять, запускать и останавливать службы на удаленных машинах Windows NT.
Установка и конфигурирование агента сетевого монитора Windows 9.x Установка и работа агента сетевого монитора Windows 9.x не совсем прямолинейна. Агент находится на на сайте издательства "ЛОРИ" в каталоге \admin\nettools\Netmon и состоит из двух частей. Имеется драйвер протокола, который предоставляет показатели производительности системному монитору для адаптеров NDIS 3.1. Это позволяет системному монитору просматривать статистику сетевого трафика. Агент сетевого монитора использует некоторые функции, предоставляемые драйвером протокола для передачи информации назад в приложение Netmon. Вот шаги, необходимые для установки агента сетевого монитора Windows 9.x.
1. Откройте сетевой апплет в панели управления и щелкните по кнопке Add.
2. Выберите тип сетевого компонента и сделайте двойной щелчок по службе.
3. В диалоговом окне службы щелкните по кнопке Have disk.
4. Для установки из каталога используйте каталог на \admin\nettools\ Netmon на компакт-диске Windows 9.x.
5. В окне выбора сетевой службы щелкните по агенту Microsoft Network Monitor и подтвердите ОК.
Приведенные выше шаги установят драйвер протокола и агента. Чтобы сконфигурировать агент, вернитесь в сетевой апплет, выберите Microsoft Network Monitor Agent и щелкните по свойствам. Это приведет к появлению окна, аналогичного тому, которое мы видели ранее для машин Windows NT, где можно присвоить пароль перехвата и пароль вывода. Этот пароль должен задаваться, когда агент не выполняется и системный монитор не выводит данные производительности сети.
Когда агент будет установлен и сконфигурирован, наступает время для его запуска. Это делается из команды запуска (run) вводом nmagent. Агент может останавливаться из команды запуска (run) с помощью ввода nmagent -close. Агент можно также запустить как службу на машине Windows 9.x, делая следующие изменения в реестре.
Так как агент выполняется теперь как служба на машине Windows 9.x, он будет продолжать выполняться независимо от того, зарегистрирован на компьютере пользователь или нет. Чтобы остановить службу в любое время, используйте команду nmagent -close из окна запуска (run).
Соединение с удаленными агентами
Чтобы соединиться с удаленным агентом, выберите networks из меню capture. Появившееся окно выбора сети перехвата перечисляет все установленные на машине сетевые адаптеры и один дополнительный адаптер, называемый удаленным (remote). По умолчанию его состояние определяется как разъединенное и неизвестного типа. При успешном запросе сетевого агента можно просто сделать двойной щелчок по удаленной неизвестной сети, и появится окно, показанное на рис. Введите имя машины одного из агентов, который будут возвращен этим запросом, и должно будет установиться соединение. Если агент защищен паролем, то появится диалоговое окно, запрашивающее пароль. После соединения сеанс работает таким же образом, как и локальный перехват. Можно также настроить буфера перехвата и сконфигурировать фильтр перехвата, но различия в способе работы сеанса нет.
Сетевой монитор SMS 1.2 включает несколько мастеров, которые помогут найти некоторые важные данные. Это отчеты (они не являются в действительности мастерами) верхнего пользователя и распределения протокола. Другие функции мастеров — поиск всех маршрутизаторов в файле перехвата и поиск всех имен в файле захвата, а также они могут разрешать адреса по именам. Недостаток этих отчетов в том, что не существует способа сохранить информацию помимо печати экрана (print screen) для перехвата отчета с экрана. Это существенный недостаток, так как часто полезно распечатать данные, в частности, отчет верхнего пользователя. Рассмотрим отчет верхнего пользователя.
Отчет верхнего пользователя активируется в режиме вывода (когда выводятся перехваченные данные в противоположность просмотру статистики сеанса). Отчет выбирается из меню Tools и имеет возможность показать, сколько выводить верхних пользователей, и основывается ли список на адресе канала данных или на адресе MAC. Можно также применить текущий фильтр вывода или выбрать игнорирование фильтра вывода и основывать отчет на всем файле перехвата. Как можно видеть на рис., отчет перечисляет имя, адрес, число кадров и процент числа кадров и размера кадра. Эта информация может помочь при планировании и расширении сети, а также при обнаружении нарушений эксплуатации сети.
Отчет о распределении протоколов доступен таким же образом, как и отчет верхних пользователей: из меню Tools в режиме вывода. Возможности этого отчета включают перечисление всех протоколов в кадре, сообщение о последнем протоколе в кадре и сообщение о первом действующем в кадре протоколе. Кроме того, можно выбрать дальнейшее ограничение на отчет, применяя текущий фильтр вывода к отчету. Этот отчет может стать ущественной помощью при попытке выявить аномалии в сети. Однако чтобы эта информация была наиболее полезна, необходимо знать, каким является нормальное распределение для сети. Если, например, сеть обычно имеет очень немного кадров ARP_RARP, но внезапно ими заполняется, есть хорошая исходная точка для поиска. Если же произошел внезапный всплеск пакетов UDP, это будет иметь другое значение. Знание того, что является нормальным для сети, трудно переоценить. Как можно видеть на рис. отчет перечисляет каждый протокол, число кадров и байтов и процент для перехваченных данных.
Поиск сетевых адресов по имени позволяет вводить имя компьютера, а поиск найдет соответствующий адрес МАО Это не очень сложно выполнить в сети TCP/IP, так как можно сделать ping имени хоста и затем получить информацию из кэша ARP с помощью команды ARP -а. Однако он может также использовать SAP, DNS и запрос базы данных SMS, поэтому это может быть более мощное решение. Если происходит обычная проверка адреса MAC, часто быстрее перейти в окно CMD и сделать ping и ARP -а. Как мы видим на рис, когда имя разрешено, будет выведена вся найденная о нем информация. Выбор только тех служб, которые присутствуют в сети, может оптимизировать этот процесс. Кроме того, можно ускорить процесс, делая локальную базу данных ADR первым источником, который будет запрашиваться с помощью кнопок "плюс" и "минус" рядом окном выбора службы.
Триггер проверяет кадры по мере их прохождения. Сетевой монитор собирает данные, чтобы найти кадры, удовлетворяющие некоторым критериям. Если они удовлетворяют заданному условию, то сетевой монитор выполнит некоторые заданные действия. Это весьма мощный инструмент, открывающий почти неограниченные возможности. Очень простой триггер, который не даст потерять данные во время сеанса мониторинга, создается с помощью выбора триггера на пространстве буфера, выбирая 100% для задания пространства буфера и задавая затем действие триггера как остановку перехвата.
Чтобы несколько усовершенствовать этот триггер, напишите простой пакетный файл, который будет выполнять команду net send, уведомляя, что перехват данных остановлен, а затем прикажите триггеру выполнить этот пакетный файл (с расширением .bat), когда перехват данных остановится.
Этот пакетный файл может состоять только из одной строки и выглядеть как файл, представленный ниже. Его можно написать в notepad и затем переименовать файл с расширением .txt в файл с расширением .bat и указать в командной строке его расположение.
Использование триггеров может стать очень сложным, когда вводятся элементы смещения шаблона. Используя смещения шаблона, сетевой монитор может идентифицировать широкое множество событий и выполнить все, что можно выполнить из командной строки — включая другой экземпляр сетевого монитора на другой машине. Использование шестнадцатерич-ной панели для идентификации смещения и шаблона для определения события, которое будет за этим инициироваться, может определить эти смещения шаблона. Это делается таким же способом, который рассматривался ранее в этой главе в разделе о разработке фильтров перехвата.
Если требуется автоматически запускать сетевой монитор либо с помощью пакетного файла с триггером, либо с помощью службы планировщика Windows NT (команда AT), можно использовать следующие ключи командной строки. Каждый из этих ключей изменяет команду netmon. Пример пакетного файла включен в каталог batch на сайте издательства "ЛОРИ". Чтобы облегчить использование Netmon из командной строки, добавьте каталог с исполняемым файлом в путь доступа компьютера, изменяя переменную path системного окружения.
• /autostart — заставляет сетевой монитор запустить перехват данных немедленно после запуска. Пример: netmon /autostart.
• /remote computer - computer является именем удаленного агента, с которым
• желательно соединиться. Пример: Netmon /remote exchange.
• /net number - number определяет соединение с указанным сетевым интерфейсом. Эту информацию получают при помощи команды networks из меню capture. Пример: Netmon /net 2 (запустит Netmon, используя интерфейс сети #2, указанный в диалоговом окне сетей, но не начнется перехват данных, так как не определен ключ /autostart).
• /capturefilter path — определяет фильтр перехвата, который будет использоваться при работе сетевого монитора. Path задает расположение определенного фильтра перехвата.
• /displayfilter path — определяет фильтр вывода, который будет загружаться при запуске сетевого монитора.
• /buffersize number — задает размер буфера в байтах (одномегабайтный буфер перехвата будет определяться как /buffersize 1024000).
• /quickfilter type, address — указывает, что сетевой монитор начнет перехват данных сразу после запуска, и будет фильтровать на указанном адресе.
• /autostop — заставляет сетевой монитор остановить перехват данных, когда буфер заполнится. Пример: Netmon /autostart /buffersize 1024000 /autostop (запускает Netmon и немедленно начинает перехват данных с буфером перехвата в один мегабайт. Когда буфер перехвата заполнится, он остановится).
