Раньше при возникновении проблемы с сетью, часто приходилось гадать, что же вызвало неполадки. Позже появились специализированные устройства, которые были дорогими, трудными для управления и понимания. Теперь имеется сетевой монитор, который является программным инструментом анализа компании Microsoft. Существуют две версии этой программы: сокращенная, поставляемая с серверными операционными системами, и полная, которая поставляется с сервером управления системами. Microsoft Network Monitor Lite способен перехватывать трафик, предназначенный только для машины, выполняющей программу. Полная версия переводит сетевой адаптер в "режим, не делающий различия" — т.е. он перехватывает трафик, направленный на компьютер, выполняющий Microsoft Nerwork Monitor, а также трафик, предназначенный для других устройств.
Network Monitor 2.0 поставляется вместе с Windows 2000 в версии Lite, а полная версия поставляется вместе с Windows NT 4.0 и SMS 2.0. Network Monitor 1.2. поставляется вместе с Windows NT 4.0 и SMS 1.2. В действительности существует лишь Небольшое различие между версиями продукта 2.0 и 1.2, так как функционально они одинаковы. Мы укажем различия, но большая часть рассматриваемого материала применима к любой версии продукта.
Microsoft Network Monitor копирует кадры в буфер перехвата, который является областью памяти с изменяемым размером. По умолчанию этот буфер перехвата равен одному мегабайту, но это легко изменить. Однако в связи с этим зависимым от памяти буфером перехвата сетевой монитор может перехватить лишь столько информации, сколько может поместиться в доступной памяти. Когда буфер будет заполнен, он начнет отбрасывать пакеты, и поэтому можно пропустить разыскиваемую информацию. Кроме того, сетевой монитор имеет склонность блокировать и связывать большую часть ресурсов процессора, когда ему разрешается выполняться в течение продолжительных периодов после полного заполнения буфера. К счастью, легко прекратить его работу с помощью Task Manager, но тогда теряется весь перехваченный файл. Мы узнаем некоторые приемы решения этой проблемы при рассмотрении необслуживаемого мониторинга сети. Потеря файла обычно не является проблемой, так как можно выбрать, какую часть кадра необходимо увидеть, создавая фильтр перехвата. Фильтр перехвата (который в определенном смысле похож на запрос к базе данных) позволяет перехватывать только определенные адреса или типы кадров. Мы поговорим об этом в разделе о перехвате данных.
Так как Microsoft Nerwork Monitor легкодоступный, очень мощный инструмент, способный перехватывать данные из сети, необходимо позаботиться о системе безопасности. Как мы видели в других главах, обладая определенными навыками, из сети можно получить очень важную информацию. Microsoft Nerwork Monitor может быть прекрасным инструментом для поиска неисправностей, но также может представлять существенную опасность, оказавшись в недобросовестных руках. Есть несколько способов защиты сети от неавторизованного использования этого инструмента. Мы-поговорим об этом позже, в разделе о безопасности сетевого монитора.
Microsoft Network Monitor не устанавливается по умолчанию. Чтобы установить его, перейдите к вкладке служб сетевого апплета в панели управления и выберите добавить (add) инструменты сетевого монитора и агент. (ПРИМЕЧАНИЕ. Не забудьте выбрать инструменты сетевого монитора и агента, а не просто агента сетевого монитора, который представлен в списке ниже и не включает программу Microsoft Network Monitor.) Установка версий SMS использует отдельную программу Setup.exe, находящуюся в каталоге NMEXR на сайте издательства "ЛОРИ".
Пришло время запустить сетевой монитор. Чтобы управлять перехватом вручную, используется меню перехвата. Однако прежде чем нажать Start, необходимо задать размер буфера. Выбор настроек буфера из меню перехвата позволит сконфигурировать буфер. Используемый по умолчанию максимальный размер буфера перехвата, равный 8 мегабайтам, меньше объема оперативной памяти, установленной на машине. Хотя можно использовать виртуальную память для буфера перехвата, лучше этого не делать для гарантии, что критически важная информация кадра надежно перехвачена. Microsoft Network Monitor пошлет предупреждение при попытке ввести размер буфера перехвата больше физической памяти машины. Сообщение говорит: "Запрашиваемый размер буфера может вызывать потерю кадров в связи с процессом подкачки. Вы уверены, что хотите разместить буфер этого размера?"
Помимо выбора размера буфера можно также выбрать размер кадра, который желательно перехватывать. Например, если интересует только информация заголовка для определенного протокола, то можно задать здесь эту информацию и не тратить пространство на перехват лишних данных кадра. Какой размер кадра перехватывается, зависит от определенного исследуемого протокола. Например, так как мы знаем, что нормальный заголовок Ethernet равен 14 байтам, можно задать кадр перехвата в 14 байтов и перехватывать только заголовки Ethernet. Это позволит нам перехватить 73142 кадра с помощью одномегабайтного буфера перехвата. Можно было бы использовать 34-байтовый кадр для перехвата заголовка IP (14 байтов для заголовка Ethernet и 20 байтов для заголовка IP). Это очень полезно при исследовании проблем передачи файлов, которые часто содержат 1200 или больше байтов данных пользователя, которые могут быстро заполнить буфер перехвата.
Обновление окна статистики перехвата, показанного на рис., создает для центрального процессора нагрузку, которая может быть излишней. Выбирая режим выделенного (dedicated) перехвата в меню перехвата, можно избежать нагрузки, связанной с обновлением изображения, и тем самым предоставить дополнительные ресурсы для перехвата кадров. Как показано на рис, в режиме выделенного перехвата имеется возможность переключения в нормальный режим, выбрав его из меню перехвата. Можно сделать все эти переключения во время работы Microsoft Network Monitor и не потерять кадры. Кроме того, можно приостановить Netmon и продолжить работу приложения в этом режиме.
Когда данные перехвачены и применен фильтр вывода данных, наступает время анализировать кадры. Верхняя панель является итоговой панелью, которая содержит информацию перечисленную ниже. Эти столбцы можно переупорядочить, нажимая заголовок столбца и перетаскивая в новое желаемое положение.
• Номер кадра. Microsoft Network Monitor присваивает кадру номер для целей учета. Он в реальности не появляется в самом кадре, но добавляется программой, чтобы упростить ссылку на информацию, находящуюся в перехваченных данных.
• Время. Время, также присваиваемое Microsoft Network Monitor, позволяет узнать, сколько времени проходит между кадрами. Это предоставляет полезную информацию при выполнении анализа сетевой производительности. Время, которое выводится в этом столбце, конфигурируется в параметрах меню Display. Существуют три возможности: время дня, секунды с начала перехвата и секунды от прохождения предыдущего кадра. Выбирая время дня, можно сопоставить информацию из журнала событий Windows с информацией, перехваченной Microsoft Network Monitor. Такое сопоставление допустимо для мощного поиска неисправностей при появлении ошибочных сообщений.
• Адрес MAC источника. Это устройство, которое прежде всего создает кадр. Есть три возможности для вывода адреса MAC, задаваемые из меню Options. Можно выбрать вывод имени, которое присвоено адресу MAC в адресной книге Microsoft Network Monitor; можно выбрать вывод просто адреса MAC (поведение по умолчанию); или можно выбрать вывод имени поставщика, связанного с первыми шестью байтами адреса MAC. Это бывает полезно при попытке найти неизвестное устройство в сети.
• Адрес MAC места назначения. Это аппаратный адрес места назначения пакета.
• Протокол. Это основной протокол кадра.
• Описание. Это поле предоставляет суммарную информацию о кадре Описание также конфигурируемо с помощью параметров меню Display. Существует две возможности: последний протокол в кадре или автоматический выбор на основе используемого фильтра вывода. Часто можно собрать достаточно информации из сводки, чтобы получить представление о том, что происходит в сеансе перехвата. Трехходовое квитирование TCP легко обнаружить по описанию. Здесь часто показывается информация о флагах TCP.
• Другой адрес источника. Чтобы увидеть это поле, следует переместить ползунок в нижней части итоговой панели. Другой адрес источника является адресом другого протокола, содержащимся в кадре.
• Другой адрес места назначения. Это адрес другого протокола, содержащийся в кадре.
• Тип другого адреса. Этот адрес сообщает, какой протокол содержат поля другого адреса.
Детализированная панель находится в середине. Здесь происходит большая часть анализа. Microsoft Network Monitor использует файлы .dll и файлы .ini для синтаксического разбора протокола. Существуют, например, файлы TCP.dll и TCP.ini, хранящиеся в каталоге синтаксического разбора Microsoft Network Monitor. Чтобы правильно проанализировать протоколы, которые Microsoft Network Monitor не понимает, необходим анализатор .dll и файл .ini. Можно написать их самостоятельно или получить их от независимых поставщиков.
Шестнадцатеричная панель находится в нижней части и содержит специальную информацию об анализируемом кадре. Например, рассматривая трассировки протокола РОРЗ, мы замечаем, что вся информация находится в шестнадцатеричной трассировке, а не в детализированной панели. Знание того, как читать шестнадцатеричную трассировку, поможет создать специальные фильтры перехвата.
На рис. изображен транспортный кадр NetBIOS, который переносится поверх TCP, IP и протокола Ethernet. Этот конкретный кадр является дежурным кадром сеанса. Если требуется создать фильтр перехвата, который перехватывает только дежурные кадры сеанса NetBIOS (возможно, для анализа влияния дежурного трафика NetBIOS на сеть, нам понадобится использовать смещение образца. Мы расширяем раздел NBT трассировки, щелкая на знаке плюс рядом с итоговой строкой NBT. Затем выбираем строку NBT: packet type. Отметим, что соответствующий раздел шестнадцатеричной трассировки автоматически подсвечивается, когда мы выбираем различные строки в детализированной панели. Когда мы выбираем packet type = session keep alive, подсвечивается шестнадцатеричное число 85 в строке 30. Теперь мы можем отсчитывать, пока не увидим, что шестнадцатеричное число 85 находится в смещенной позиции шестнадца-теричного 36 с начала кадра. Вместо отсчета можно посмотреть в нижний правый угол экрана Microsoft Network Monitor. Там мы видим, что это смещение 54 (десятичное) х36 (шестнадцатеричное). Эту информацию можно ввести в шаблон совпадения фильтра перехвата.
Дополнительные 00, добавленные после 85, являются тем, что следует в шестнадцатеричной трассировке и сокращает число ложных совпадений. Возможная фильтрация по двум или трем числам обеспечивает более тонкое управление процессом перехвата данных.
Модификация вывода Существует пара настроек, которая облегчает изучение трассировок Microsoft Network Monitor. Первой является настройка текста вывода, который задается выбором шрифта из меню Display. Более функциональным изменением является присваивание определенным протоколам специальных цветов. Можно например, присвоить красный цвет TCP, зеленый Browser, а желтый для трафика NetLogon. Это значительно облегчает трассировку определенных взаимодействий в перехваченных данных с большим числом кадров. Можно выбирать цвет переднего плана, который изменяет только цвет шрифта, или цвет фона, или и то и другое.
Другим свойством Microsoft Network Monitor является дублирование, которое выбирается из меню Window. При этом перехваченная информация копируется в другое окно, позволяя работать с обоими окнами, как если бы они были различными перехватами информации. Можно использовать различные фильтры вывода и сравнивать два представления одной и той же перехваченной информации. Чтобы помочь в отслеживании этого процесса, можно добавить также в том же меню в окно метку. Это позволит избежать путаницы, связанной с работой с двумя представлениями с одним и тем же именем. При работе с дубликатом можно закрыть одно окно, не влияя на содержимое другого окна. Когда настройки будут сконфигурированы желательным образом, можно сохранить их, выбирая Save configuration из меню Display.
Выбирая пункт Insert comment frame из меню Tools, можно добавить информацию в файл .cap, чтобы помочь интерпретировать данные в другое время или с целью тренировки. Можно вставить два различных вида кадров: кадр закладки и кадр комментария. Данные будут появляться в трассировке как кадр комментария или закладки, и это позволит ввести сообщение, которое будет храниться в кадре. Можно также выбрать комментарий или закладку из списка протоколов при создании фильтра вывода. Это полезно для обильно документированных кадров .cap, а затем можно будет распечатать результаты. При добавлении комментариев в файл .cap не стоит включать их статистические вычисления, так как это будет портить показатели о том, сколько кадров передано во время периода перехвата. Если анализируется не этот аспект трафика, то не имеет значения, включен ли кадр комментария в статистику перехвата.
Можно передать также кадр комментария по действующей сети, чтобы помочь в поиске определенных кадров, когда себя проявляют некоторые сетевые проблемы. Это включает использование полной версии Microsoft Network Monitor и выполнение его в двух экземплярах, чтобы оба передавали и получали одновременно. При использовании закладки можно собрать вместе некоторый массив информации в конечном разделе кадра закладки, как показано в детализированной панели на рис
Для сетевого монитора можно задать два пароля с помощью пиктограммы агента мониторинга в панели управления; это пароль вывода и пароль перехвата, показанные на рис. Пароль вывода разрешает доступ к сохраненному файлу перехвата (.cap). С помощью этого пароля разрешается только открыть сохраненный ранее файл перехвата. Он не разрешает перехватывать новые данные. Это применимо только к Microsoft Network Monitor, установленному на машине, на которой пароль был задан. Он также не защищает файл .cap от просмотра в сети с помощью другого Microsoft Network Monitor. Другими словами, это защита с помощью пароля установки программы и связанного с ней агента — а не данных.
Пароль перехвата разрешает неограниченный доступ к сетевому монитору. С помощью этого пароля можно открывать сохраненные файлы перехвата, а также создавать новые перехваты данных. Пароль запрашивается при каждом запуске Microsoft Network Monitor. Если ввести пароль перехвата, то имеется полный доступ ко всем свойствам; если ввести пароль вывода, то можно выводить только файлы .cap.
Важно задавать эти пароли на удаленных рабочих станциях и серверах, на которых установлен агент. Если служба выполняется без защиты паролем, то любой человек с версией SMS сетевого монитора может соединиться с вашим сервером и использовать его для перехвата данных из сети. Эти пароли должны быть защищены, поскольку не существует способа восстановить их иначе, как удалить и снова выполнить установку Microsoft Network Monitor и связанных с ним агентов. Удаление ключа защиты в службе ВН в реестре не работает для восстановления при потерянном пароле.
