Протокол SMTP (Simple Mail Transfer Protocol, простой протокол передачи почты) используется для получения почты из Интернета. Когда адрес сервера преобразован (с помощью DNS), создается соединение с портом 25. Команды SMTP используются для управления потоком почты из одной машины в другую. Каждая из этих команд заканчивается нажатием клавиши Enter или Return. Команды SMTP не зависят от регистра символов, хотя SMTP будет сохранять регистр при адресации, так как некоторые реализации могут иметь имена пользователей, зависящие от регистра символов. Как видно на рис., для создания соединения может использоваться Telnet, а также другой сервер SMTP. Это часто делается для тестирования соединения почты Интернета с Exchange. Процесс начинается с команды mail, посылаемой отправителем с помощью from: в форме <имя_пользователя>@<имя_домена>. From: является полем, которое сообщает серверу SMTP имя пользователя. <имя_пользователя>@<имя_домена> также станет ответом для адреса.
Команда HELO (HELLO в некоторых реализациях) позволяет узнать, общаются ли две машины. В то время как приветствие при соединении идентифицирует сервер получателя, HELO используется для идентификации отправителя на сервере SMTP. HELO и сопровождающий 250 OK позволяют узнать, что отправитель и получатель находятся в состоянии начального соединения без выполняющихся транзакций и с пустыми буферами. Команда mail сообщает серверу SMTP, что начинается новая транзакция. Если все правильно, то вернется ответ 250 ОК. from: называется также адресом обратного пути. Он может содержать более одного почтового ящика, а также список хостов для обратной маршрутизации источника.
Следующей командой MAIL используется для начала почтовой транзакции. Эта строка также будет содержать from:, что называется обратным путем доступа и используется для извещений о недоставке. Эта информация хранится сервером SMTP отправителя в буфере обратных путей доступа, который будет обрабатываться после ввода всех данных.
RCPT идентифицирует получателя сообщения и является командой, вводимой после команды mail. Если эта команда mail получена сервером SMTP правильно, то будет возвращаться ответ 250-ОК. Если получатель неизвестен, то с сервера вернется ошибка 550. Если получатель введен неправильно, то будет порождаться ошибка 553 неправильно сформированного адреса. Протокол позволит в этом месте ввести в процесс несколько получателей. Нажатие клавиши Return в конце строки RCPT и ввод другой команды RCPR вводит дополнительных получателей. Кроме почтового ящика в поле RCPT можно также поместить список маршрутов хостов источников. Данные RCPT хранятся в буфере путей доступа пересылки столько, сколько нужно серверу.
Графическая панель показывает текущее состояние сети. Эти панели имеют изменяемый размер, позволяя лучше представить данные. Это полезное свойством при мониторинге процесса перехвата. Это высокоуровневое представление может помочь при поиске неисправностей, предоставляя перечисленную ниже информацию.
• Процент загруженности сети
• Число кадров в секунду
• Число байтов в секунду
• Число широковещательных сообщений в секунду
• Число мультивещательных сообщений в секунду
Панель общей статистики показывает числовой итог информации, содержащейся в графической панели. Появляется также статистика относительно перехваченных данных. Панель сообщает, сколько кадров находится в буфере, какая доля буфера использована, были или нет какие-либо кадры отброшены в связи с переполнением буфера. Дополнительная статистика предоставляет информацию о сетевой плате.
Панель статистики сеанса (ниже графической панели) перечисляет сетевые адреса компьютеров, общающихся во время текущего сеанса перехвата. Она показывает, сколько кадров находится в сети и в каком направлении они движутся. Обратите особое внимание на стрелку, так как она используется в сетевом мониторе для указания направления потока данных (используется также при создании фильтров перехвата). Стрелка всегда указывает в направлении компьютера, который будет получать информацию. Например, на рис. bigguy в столбце сетевого адреса 1 посылает 31 кадр в PROX в столбце сетевого адреса 2. PROX посылает 25 кадров назад bigguy.
Панель статистики станции (ниже статистики сеанса) более подробно представляет информацию из статистики сеанса, перечисляя число байтов посланных и полученных каждой станцией, представленной в буфере перехвата. Информация о посланных широковещательных и мультивещательных сообщениях особенно полезна для быстрого выявления потенциальных проблем в сети. Кроме того, может понадобиться исследовать направление потока данных и размеры различных происходящих обменов данными. Все это может оказаться потенциальными узкими местами сети.
Пришло время запустить сетевой монитор. Чтобы управлять перехватом вручную, используется меню перехвата. Однако прежде чем нажать Start, необходимо задать размер буфера. Выбор настроек буфера из меню перехвата позволит сконфигурировать буфер. Используемый по умолчанию максимальный размер буфера перехвата, равный 8 мегабайтам, меньше объема оперативной памяти, установленной на машине. Хотя можно использовать виртуальную память для буфера перехвата, лучше этого не делать для гарантии, что критически важная информация кадра надежно перехвачена. Microsoft Network Monitor пошлет предупреждение при попытке ввести размер буфера перехвата больше физической памяти машины. Сообщение говорит: "Запрашиваемый размер буфера может вызывать потерю кадров в связи с процессом подкачки. Вы уверены, что хотите разместить буфер этого размера?"
Помимо выбора размера буфера можно также выбрать размер кадра, который желательно перехватывать. Например, если интересует только информация заголовка для определенного протокола, то можно задать здесь эту информацию и не тратить пространство на перехват лишних данных кадра. Какой размер кадра перехватывается, зависит от определенного исследуемого протокола. Например, так как мы знаем, что нормальный заголовок Ethernet равен 14 байтам, можно задать кадр перехвата в 14 байтов и перехватывать только заголовки Ethernet. Это позволит нам перехватить 73142 кадра с помощью одномегабайтного буфера перехвата. Можно было бы использовать 34-байтовый кадр для перехвата заголовка IP (14 байтов для заголовка Ethernet и 20 байтов для заголовка IP). Это очень полезно при исследовании проблем передачи файлов, которые часто содержат 1200 или больше байтов данных пользователя, которые могут быстро заполнить буфер перехвата.
Обновление окна статистики перехвата, показанного на рис., создает для центрального процессора нагрузку, которая может быть излишней. Выбирая режим выделенного (dedicated) перехвата в меню перехвата, можно избежать нагрузки, связанной с обновлением изображения, и тем самым предоставить дополнительные ресурсы для перехвата кадров. Как показано на рис, в режиме выделенного перехвата имеется возможность переключения в нормальный режим, выбрав его из меню перехвата. Можно сделать все эти переключения во время работы Microsoft Network Monitor и не потерять кадры. Кроме того, можно приостановить Netmon и продолжить работу приложения в этом режиме.
Когда сеанс перехвата закончен, что мы имеем? Сетевой монитор упрощает задачу анализа данных, организуя перехваченные данные в несколько различных представлений и выполняя большую часть анализа протокола. На рис. мы видим сводное представление. Оно полезно для получения обзора информации, содержащейся в перехваченных данных. Большое число кадров BPDU на рис. являются конфигурационными сообщениями коммутатора.
Добавляя подробное и шестнадцатеричное представления из меню Window, можно найти такую информацию, как адрес источника и адрес места назначения кадра. На рис. мы видим источник и место назначения трафика BPDU, который поглощает большую часть полосы пропускания сети. Вооружившись этой информацией, можно перейти к машине и
В сетевом мониторе используются два вида фильтров. Первым является фильтр перехвата, а вторым — фильтр вывода. Оба они работают аналогичным образом. Фильтр работает в некотором смысле как запрос, применяю щийся к базе данных. Он позволяет выбрать часть или подмножество доступных данных. Например, если удалось сузить проблему до определенного компьютера, то можно отфильтровать весь остальной трафик и сосредоточиться только на этом компьютере. Еще одним свойством является возможность сохранить фильтры и использовать их позже (несколько полезных фильтров находится на сайте издательства "ЛОРИ". Это пригодится при попытке исправить определенную проблему. Можно сохранить множество данных, а после выполнения изменений фильтр выполняется снова, позволяя тем самым проследить за произошедшими изменениями.
Фильтр перехвата Чтобы создать фильтр перехвата, из меню надо выбрать пункт filter. Как показано на рис, можно фильтровать данные по протоколу, по адресу или по образцу данных (или по комбинации всех трех).
Если желательно фильтровать по протоколу, необходимо выбрать строку SAP/ETYPE и нажать кнопку Edit line. Появится меню, позволяющее выбрать тип протокола, который желательно отфильтровать. Чтобы выбрать один определенный протокол, проще всего отключить все протоколы и затем включить один протокол, который желательно проверить. Хотя диалоговые окна довольно неудобны для использования, можно быстро перейти к разделу, щелкая по именованному заголовку и вводя затем первую букву требуемого протокола или адреса. Это немного лучше, чем прокручивать длинный список адресов.
Если вас интересует только одна машина, выберите адресные пары и снова нажмите кнопку Edit line (или просто сделайте двойной щелчок по выражению). Этот фильтр работает одинаково в режиме перехвата и режиме вывода и является отличным инструментом, используемым при анализе общения между серверами и рабочими станциями или между принтерами.
Фильтр перехвата на совпадении с образцом немного сложнее для использования, так как он требует определенных знаний о месте кадра, где может появиться определенный образец. Для поиска этой информации используется анализ существующей перехваченной информации в шестнад-цатеричной панели. Когда будет найден шаблон для определенного примера, создайте фильтр перехвата и протестируйте его для проверки, что он делает то, что нужно. Мы рассмотрим это при анализе шестнадцатеричной панели.
Фильтр вывода данных Фильтр вывода данных работает почти так же, как и фильтр перехвата, но действует на уже перехваченных данных. Он не изменяет содержимое буфера перехвата. С помощью фильтра вывода данных можно выбрать определенный протокол, адрес или свойство данных, чтобы помочь отсортировать данные. Выборка делается таким же образом, как и при создании фильтра перехвата. Однако существует одно важное различие: можно применять также логические операции AND, OR или NOT. Эта возможность предоставляет больший диапазон выбора при создании фильтра, чем это доступно в режиме фильтра перехвата. Как показано на рис. 9.7, появляется меню, позволяющее выбрать адрес, который желательно проверить. Существует возможность включить или исключить адрес. Можно также выбрать направление потока информации. Выберите имя для станции 1 в левом столбце, стрелку направления (помните, что вершина стрелки указывает направление потока данных), а затем выберите получателя в столбце станции 2. Например,, на рис. фильтр включает трафик данных из ED1750 во все станции сети, а также трафик из любой станции сети в ED1750. Это полезно при анализе образцов трафика сервера.
