Когда данные перехвачены и применен фильтр вывода данных, наступает время анализировать кадры. Верхняя панель является итоговой панелью, которая содержит информацию перечисленную ниже. Эти столбцы можно переупорядочить, нажимая заголовок столбца и перетаскивая в новое желаемое положение.
• Номер кадра. Microsoft Network Monitor присваивает кадру номер для целей учета. Он в реальности не появляется в самом кадре, но добавляется программой, чтобы упростить ссылку на информацию, находящуюся в перехваченных данных.
• Время. Время, также присваиваемое Microsoft Network Monitor, позволяет узнать, сколько времени проходит между кадрами. Это предоставляет полезную информацию при выполнении анализа сетевой производительности. Время, которое выводится в этом столбце, конфигурируется в параметрах меню Display. Существуют три возможности: время дня, секунды с начала перехвата и секунды от прохождения предыдущего кадра. Выбирая время дня, можно сопоставить информацию из журнала событий Windows с информацией, перехваченной Microsoft Network Monitor. Такое сопоставление допустимо для мощного поиска неисправностей при появлении ошибочных сообщений.
• Адрес MAC источника. Это устройство, которое прежде всего создает кадр. Есть три возможности для вывода адреса MAC, задаваемые из меню Options. Можно выбрать вывод имени, которое присвоено адресу MAC в адресной книге Microsoft Network Monitor; можно выбрать вывод просто адреса MAC (поведение по умолчанию); или можно выбрать вывод имени поставщика, связанного с первыми шестью байтами адреса MAC. Это бывает полезно при попытке найти неизвестное устройство в сети.
• Адрес MAC места назначения. Это аппаратный адрес места назначения пакета.
• Протокол. Это основной протокол кадра.
• Описание. Это поле предоставляет суммарную информацию о кадре Описание также конфигурируемо с помощью параметров меню Display. Существует две возможности: последний протокол в кадре или автоматический выбор на основе используемого фильтра вывода. Часто можно собрать достаточно информации из сводки, чтобы получить представление о том, что происходит в сеансе перехвата. Трехходовое квитирование TCP легко обнаружить по описанию. Здесь часто показывается информация о флагах TCP.
• Другой адрес источника. Чтобы увидеть это поле, следует переместить ползунок в нижней части итоговой панели. Другой адрес источника является адресом другого протокола, содержащимся в кадре.
• Другой адрес места назначения. Это адрес другого протокола, содержащийся в кадре.
• Тип другого адреса. Этот адрес сообщает, какой протокол содержат поля другого адреса.
Детализированная панель находится в середине. Здесь происходит большая часть анализа. Microsoft Network Monitor использует файлы .dll и файлы .ini для синтаксического разбора протокола. Существуют, например, файлы TCP.dll и TCP.ini, хранящиеся в каталоге синтаксического разбора Microsoft Network Monitor. Чтобы правильно проанализировать протоколы, которые Microsoft Network Monitor не понимает, необходим анализатор .dll и файл .ini. Можно написать их самостоятельно или получить их от независимых поставщиков.
Шестнадцатеричная панель находится в нижней части и содержит специальную информацию об анализируемом кадре. Например, рассматривая трассировки протокола РОРЗ, мы замечаем, что вся информация находится в шестнадцатеричной трассировке, а не в детализированной панели. Знание того, как читать шестнадцатеричную трассировку, поможет создать специальные фильтры перехвата.
На рис. изображен транспортный кадр NetBIOS, который переносится поверх TCP, IP и протокола Ethernet. Этот конкретный кадр является дежурным кадром сеанса. Если требуется создать фильтр перехвата, который перехватывает только дежурные кадры сеанса NetBIOS (возможно, для анализа влияния дежурного трафика NetBIOS на сеть, нам понадобится использовать смещение образца. Мы расширяем раздел NBT трассировки, щелкая на знаке плюс рядом с итоговой строкой NBT. Затем выбираем строку NBT: packet type. Отметим, что соответствующий раздел шестнадцатеричной трассировки автоматически подсвечивается, когда мы выбираем различные строки в детализированной панели. Когда мы выбираем packet type = session keep alive, подсвечивается шестнадцатеричное число 85 в строке 30. Теперь мы можем отсчитывать, пока не увидим, что шестнадцатеричное число 85 находится в смещенной позиции шестнадца-теричного 36 с начала кадра. Вместо отсчета можно посмотреть в нижний правый угол экрана Microsoft Network Monitor. Там мы видим, что это смещение 54 (десятичное) х36 (шестнадцатеричное). Эту информацию можно ввести в шаблон совпадения фильтра перехвата.
При тех мощных возможностях, которые заложены в сетевом мониторе, очень важно принять соответствующие меры безопасности для защиты сети от неправильного использования этого инструмента. Компания Microsoft уже реализовала одно свойство безопасности в серверных продуктах, которое состоит в том, что сетевой монитор будет контролировать трафик только между сервером, на котором он выполняется, и остальной сетью. Это защитит вас от некорректного использования. Однако версия, которая поставляется вместе с Systems Management Server (SMS), способна перехватывать кадры, посланные на компьютер или из любого компьютера в сети, а также перехватывать кадры в удаленной сети.
Чтобы защитить свою сеть от неавторизованного просмотра, сетевой монитор может легко определить другие экземпляры программы в сети. Он может сделать это независимо от того, работает или нет программа. Как показано на рис., если драйвер установлен на машине, он будет сообщать имя машины, имя зарегистрированного на компьютере пользователя, адрес Ethernet машины, номер версии программы и перехватывает ли программа данные, или просто установлена. Чтобы получить эту информацию, необходимо выбрать в меню Tools пункт Identify network monitor users (Идентифицировать пользователей сетевого монитора). Важно отметить, что если имеются сетевые сегменты, разделенные маршрутизатором, который не пересылает мультивещательные сообщения, то невозможно будет определить установки сетевого монитора в другом сегменте, не соединившись с этим сегментом. Это связано с тем, что Netmon использует суффикс NetBIOS для объявления о своем присутствии в сети. Суффикс BE объявляет агента сетевого монитора, а суффикс BF объявляет в сети само приложение сетевого монитора. Если они не пересылаются, то необходимо будет соединиться с определенным сегментом, чтобы определить незаконные установки этих инструментов.
После выбора пункта меню "Определить пользователей сетевого монитора" машина Netmon посылает запрос станции BONE, как показано в следующей распечатке. Протокол BONE (сокращение от Bloodhound Oriented Network Entity, что может быть приблизительно переведено как "Сетевая ищейка") используется сетевым монитором, чтобы он мог общаться. Этот ьапрос станции является очень маленьким кадром многоадресной рассылки 802.3, который использует только 29 байтов.
Ответ направляется в машину, которая послала запрос, и является маленьким кадром 802.3, в этот раз требующим около 125 байтов. Ответ сообщает статус драйвера; 0x00000003 означает, что драйвер установлен и активен, но не перехватывает данные. Он содержит версию драйвера, машину, адрес MAC машины и имя любого пользователя, которое было сконфигурировано при конфигурировании драйвера.
Возможно, наиболее мощным дополнительным свойством, предоставляемым полной версией сетевого монитора, является возможность соединяться с удаленными агентами, выполняющимися на других машинах. Делая это, можно увидеть сетевой трафик, обычно невидимый в сегментированной разделенной коммутаторами сети.
Используя свойство соединения с удаленной сетью, версия Netmon SMS может соединиться с другим сервером NT, рабочей станцией или машиной Windows 95 или 98, на которой установлен и выполняется агент сетевого монитора. Агент сетевого монитора устанавливается как служба Windows NT и при желании может быть настроен для автоматического запуска для облегчения использования удаленного поиска неисправностей. При желании служба может быть оставлена с ручным управлением и запускаться удаленно с помощью утилиты NETSVC из NT Resource Kit. Эта утилита позволяет запрашивать, перечислять, запускать и останавливать службы на удаленных машинах Windows NT.
Установка и конфигурирование агента сетевого монитора Windows 9.x Установка и работа агента сетевого монитора Windows 9.x не совсем прямолинейна. Агент находится на на сайте издательства "ЛОРИ" в каталоге \admin\nettools\Netmon и состоит из двух частей. Имеется драйвер протокола, который предоставляет показатели производительности системному монитору для адаптеров NDIS 3.1. Это позволяет системному монитору просматривать статистику сетевого трафика. Агент сетевого монитора использует некоторые функции, предоставляемые драйвером протокола для передачи информации назад в приложение Netmon. Вот шаги, необходимые для установки агента сетевого монитора Windows 9.x.
1. Откройте сетевой апплет в панели управления и щелкните по кнопке Add.
2. Выберите тип сетевого компонента и сделайте двойной щелчок по службе.
3. В диалоговом окне службы щелкните по кнопке Have disk.
4. Для установки из каталога используйте каталог на \admin\nettools\ Netmon на компакт-диске Windows 9.x.
5. В окне выбора сетевой службы щелкните по агенту Microsoft Network Monitor и подтвердите ОК.
Приведенные выше шаги установят драйвер протокола и агента. Чтобы сконфигурировать агент, вернитесь в сетевой апплет, выберите Microsoft Network Monitor Agent и щелкните по свойствам. Это приведет к появлению окна, аналогичного тому, которое мы видели ранее для машин Windows NT, где можно присвоить пароль перехвата и пароль вывода. Этот пароль должен задаваться, когда агент не выполняется и системный монитор не выводит данные производительности сети.
Когда агент будет установлен и сконфигурирован, наступает время для его запуска. Это делается из команды запуска (run) вводом nmagent. Агент может останавливаться из команды запуска (run) с помощью ввода nmagent -close. Агент можно также запустить как службу на машине Windows 9.x, делая следующие изменения в реестре.
Так как агент выполняется теперь как служба на машине Windows 9.x, он будет продолжать выполняться независимо от того, зарегистрирован на компьютере пользователь или нет. Чтобы остановить службу в любое время, используйте команду nmagent -close из окна запуска (run).
Соединение с удаленными агентами
Чтобы соединиться с удаленным агентом, выберите networks из меню capture. Появившееся окно выбора сети перехвата перечисляет все установленные на машине сетевые адаптеры и один дополнительный адаптер, называемый удаленным (remote). По умолчанию его состояние определяется как разъединенное и неизвестного типа. При успешном запросе сетевого агента можно просто сделать двойной щелчок по удаленной неизвестной сети, и появится окно, показанное на рис. Введите имя машины одного из агентов, который будут возвращен этим запросом, и должно будет установиться соединение. Если агент защищен паролем, то появится диалоговое окно, запрашивающее пароль. После соединения сеанс работает таким же образом, как и локальный перехват. Можно также настроить буфера перехвата и сконфигурировать фильтр перехвата, но различия в способе работы сеанса нет.
Сетевой монитор SMS 1.2 включает несколько мастеров, которые помогут найти некоторые важные данные. Это отчеты (они не являются в действительности мастерами) верхнего пользователя и распределения протокола. Другие функции мастеров — поиск всех маршрутизаторов в файле перехвата и поиск всех имен в файле захвата, а также они могут разрешать адреса по именам. Недостаток этих отчетов в том, что не существует способа сохранить информацию помимо печати экрана (print screen) для перехвата отчета с экрана. Это существенный недостаток, так как часто полезно распечатать данные, в частности, отчет верхнего пользователя. Рассмотрим отчет верхнего пользователя.
Отчет верхнего пользователя активируется в режиме вывода (когда выводятся перехваченные данные в противоположность просмотру статистики сеанса). Отчет выбирается из меню Tools и имеет возможность показать, сколько выводить верхних пользователей, и основывается ли список на адресе канала данных или на адресе MAC. Можно также применить текущий фильтр вывода или выбрать игнорирование фильтра вывода и основывать отчет на всем файле перехвата. Как можно видеть на рис., отчет перечисляет имя, адрес, число кадров и процент числа кадров и размера кадра. Эта информация может помочь при планировании и расширении сети, а также при обнаружении нарушений эксплуатации сети.
Отчет о распределении протоколов доступен таким же образом, как и отчет верхних пользователей: из меню Tools в режиме вывода. Возможности этого отчета включают перечисление всех протоколов в кадре, сообщение о последнем протоколе в кадре и сообщение о первом действующем в кадре протоколе. Кроме того, можно выбрать дальнейшее ограничение на отчет, применяя текущий фильтр вывода к отчету. Этот отчет может стать ущественной помощью при попытке выявить аномалии в сети. Однако чтобы эта информация была наиболее полезна, необходимо знать, каким является нормальное распределение для сети. Если, например, сеть обычно имеет очень немного кадров ARP_RARP, но внезапно ими заполняется, есть хорошая исходная точка для поиска. Если же произошел внезапный всплеск пакетов UDP, это будет иметь другое значение. Знание того, что является нормальным для сети, трудно переоценить. Как можно видеть на рис. отчет перечисляет каждый протокол, число кадров и байтов и процент для перехваченных данных.
Поиск сетевых адресов по имени позволяет вводить имя компьютера, а поиск найдет соответствующий адрес МАО Это не очень сложно выполнить в сети TCP/IP, так как можно сделать ping имени хоста и затем получить информацию из кэша ARP с помощью команды ARP -а. Однако он может также использовать SAP, DNS и запрос базы данных SMS, поэтому это может быть более мощное решение. Если происходит обычная проверка адреса MAC, часто быстрее перейти в окно CMD и сделать ping и ARP -а. Как мы видим на рис, когда имя разрешено, будет выведена вся найденная о нем информация. Выбор только тех служб, которые присутствуют в сети, может оптимизировать этот процесс. Кроме того, можно ускорить процесс, делая локальную базу данных ADR первым источником, который будет запрашиваться с помощью кнопок "плюс" и "минус" рядом окном выбора службы.
