Дополнительные 00, добавленные после 85, являются тем, что следует в шестнадцатеричной трассировке и сокращает число ложных совпадений. Возможная фильтрация по двум или трем числам обеспечивает более тонкое управление процессом перехвата данных.
Модификация вывода Существует пара настроек, которая облегчает изучение трассировок Microsoft Network Monitor. Первой является настройка текста вывода, который задается выбором шрифта из меню Display. Более функциональным изменением является присваивание определенным протоколам специальных цветов. Можно например, присвоить красный цвет TCP, зеленый Browser, а желтый для трафика NetLogon. Это значительно облегчает трассировку определенных взаимодействий в перехваченных данных с большим числом кадров. Можно выбирать цвет переднего плана, который изменяет только цвет шрифта, или цвет фона, или и то и другое.
Другим свойством Microsoft Network Monitor является дублирование, которое выбирается из меню Window. При этом перехваченная информация копируется в другое окно, позволяя работать с обоими окнами, как если бы они были различными перехватами информации. Можно использовать различные фильтры вывода и сравнивать два представления одной и той же перехваченной информации. Чтобы помочь в отслеживании этого процесса, можно добавить также в том же меню в окно метку. Это позволит избежать путаницы, связанной с работой с двумя представлениями с одним и тем же именем. При работе с дубликатом можно закрыть одно окно, не влияя на содержимое другого окна. Когда настройки будут сконфигурированы желательным образом, можно сохранить их, выбирая Save configuration из меню Display.
Выбирая пункт Insert comment frame из меню Tools, можно добавить информацию в файл .cap, чтобы помочь интерпретировать данные в другое время или с целью тренировки. Можно вставить два различных вида кадров: кадр закладки и кадр комментария. Данные будут появляться в трассировке как кадр комментария или закладки, и это позволит ввести сообщение, которое будет храниться в кадре. Можно также выбрать комментарий или закладку из списка протоколов при создании фильтра вывода. Это полезно для обильно документированных кадров .cap, а затем можно будет распечатать результаты. При добавлении комментариев в файл .cap не стоит включать их статистические вычисления, так как это будет портить показатели о том, сколько кадров передано во время периода перехвата. Если анализируется не этот аспект трафика, то не имеет значения, включен ли кадр комментария в статистику перехвата.
Можно передать также кадр комментария по действующей сети, чтобы помочь в поиске определенных кадров, когда себя проявляют некоторые сетевые проблемы. Это включает использование полной версии Microsoft Network Monitor и выполнение его в двух экземплярах, чтобы оба передавали и получали одновременно. При использовании закладки можно собрать вместе некоторый массив информации в конечном разделе кадра закладки, как показано в детализированной панели на рис
При тех мощных возможностях, которые заложены в сетевом мониторе, очень важно принять соответствующие меры безопасности для защиты сети от неправильного использования этого инструмента. Компания Microsoft уже реализовала одно свойство безопасности в серверных продуктах, которое состоит в том, что сетевой монитор будет контролировать трафик только между сервером, на котором он выполняется, и остальной сетью. Это защитит вас от некорректного использования. Однако версия, которая поставляется вместе с Systems Management Server (SMS), способна перехватывать кадры, посланные на компьютер или из любого компьютера в сети, а также перехватывать кадры в удаленной сети.
Для сетевого монитора можно задать два пароля с помощью пиктограммы агента мониторинга в панели управления; это пароль вывода и пароль перехвата, показанные на рис. Пароль вывода разрешает доступ к сохраненному файлу перехвата (.cap). С помощью этого пароля разрешается только открыть сохраненный ранее файл перехвата. Он не разрешает перехватывать новые данные. Это применимо только к Microsoft Network Monitor, установленному на машине, на которой пароль был задан. Он также не защищает файл .cap от просмотра в сети с помощью другого Microsoft Network Monitor. Другими словами, это защита с помощью пароля установки программы и связанного с ней агента — а не данных.
Пароль перехвата разрешает неограниченный доступ к сетевому монитору. С помощью этого пароля можно открывать сохраненные файлы перехвата, а также создавать новые перехваты данных. Пароль запрашивается при каждом запуске Microsoft Network Monitor. Если ввести пароль перехвата, то имеется полный доступ ко всем свойствам; если ввести пароль вывода, то можно выводить только файлы .cap.
Важно задавать эти пароли на удаленных рабочих станциях и серверах, на которых установлен агент. Если служба выполняется без защиты паролем, то любой человек с версией SMS сетевого монитора может соединиться с вашим сервером и использовать его для перехвата данных из сети. Эти пароли должны быть защищены, поскольку не существует способа восстановить их иначе, как удалить и снова выполнить установку Microsoft Network Monitor и связанных с ним агентов. Удаление ключа защиты в службе ВН в реестре не работает для восстановления при потерянном пароле.
Чтобы защитить свою сеть от неавторизованного просмотра, сетевой монитор может легко определить другие экземпляры программы в сети. Он может сделать это независимо от того, работает или нет программа. Как показано на рис., если драйвер установлен на машине, он будет сообщать имя машины, имя зарегистрированного на компьютере пользователя, адрес Ethernet машины, номер версии программы и перехватывает ли программа данные, или просто установлена. Чтобы получить эту информацию, необходимо выбрать в меню Tools пункт Identify network monitor users (Идентифицировать пользователей сетевого монитора). Важно отметить, что если имеются сетевые сегменты, разделенные маршрутизатором, который не пересылает мультивещательные сообщения, то невозможно будет определить установки сетевого монитора в другом сегменте, не соединившись с этим сегментом. Это связано с тем, что Netmon использует суффикс NetBIOS для объявления о своем присутствии в сети. Суффикс BE объявляет агента сетевого монитора, а суффикс BF объявляет в сети само приложение сетевого монитора. Если они не пересылаются, то необходимо будет соединиться с определенным сегментом, чтобы определить незаконные установки этих инструментов.
После выбора пункта меню "Определить пользователей сетевого монитора" машина Netmon посылает запрос станции BONE, как показано в следующей распечатке. Протокол BONE (сокращение от Bloodhound Oriented Network Entity, что может быть приблизительно переведено как "Сетевая ищейка") используется сетевым монитором, чтобы он мог общаться. Этот ьапрос станции является очень маленьким кадром многоадресной рассылки 802.3, который использует только 29 байтов.
Ответ направляется в машину, которая послала запрос, и является маленьким кадром 802.3, в этот раз требующим около 125 байтов. Ответ сообщает статус драйвера; 0x00000003 означает, что драйвер установлен и активен, но не перехватывает данные. Он содержит версию драйвера, машину, адрес MAC машины и имя любого пользователя, которое было сконфигурировано при конфигурировании драйвера.
Возможно, наиболее мощным дополнительным свойством, предоставляемым полной версией сетевого монитора, является возможность соединяться с удаленными агентами, выполняющимися на других машинах. Делая это, можно увидеть сетевой трафик, обычно невидимый в сегментированной разделенной коммутаторами сети.
Используя свойство соединения с удаленной сетью, версия Netmon SMS может соединиться с другим сервером NT, рабочей станцией или машиной Windows 95 или 98, на которой установлен и выполняется агент сетевого монитора. Агент сетевого монитора устанавливается как служба Windows NT и при желании может быть настроен для автоматического запуска для облегчения использования удаленного поиска неисправностей. При желании служба может быть оставлена с ручным управлением и запускаться удаленно с помощью утилиты NETSVC из NT Resource Kit. Эта утилита позволяет запрашивать, перечислять, запускать и останавливать службы на удаленных машинах Windows NT.
Установка и конфигурирование агента сетевого монитора Windows 9.x Установка и работа агента сетевого монитора Windows 9.x не совсем прямолинейна. Агент находится на на сайте издательства "ЛОРИ" в каталоге \admin\nettools\Netmon и состоит из двух частей. Имеется драйвер протокола, который предоставляет показатели производительности системному монитору для адаптеров NDIS 3.1. Это позволяет системному монитору просматривать статистику сетевого трафика. Агент сетевого монитора использует некоторые функции, предоставляемые драйвером протокола для передачи информации назад в приложение Netmon. Вот шаги, необходимые для установки агента сетевого монитора Windows 9.x.
1. Откройте сетевой апплет в панели управления и щелкните по кнопке Add.
2. Выберите тип сетевого компонента и сделайте двойной щелчок по службе.
3. В диалоговом окне службы щелкните по кнопке Have disk.
4. Для установки из каталога используйте каталог на \admin\nettools\ Netmon на компакт-диске Windows 9.x.
5. В окне выбора сетевой службы щелкните по агенту Microsoft Network Monitor и подтвердите ОК.
Приведенные выше шаги установят драйвер протокола и агента. Чтобы сконфигурировать агент, вернитесь в сетевой апплет, выберите Microsoft Network Monitor Agent и щелкните по свойствам. Это приведет к появлению окна, аналогичного тому, которое мы видели ранее для машин Windows NT, где можно присвоить пароль перехвата и пароль вывода. Этот пароль должен задаваться, когда агент не выполняется и системный монитор не выводит данные производительности сети.
Когда агент будет установлен и сконфигурирован, наступает время для его запуска. Это делается из команды запуска (run) вводом nmagent. Агент может останавливаться из команды запуска (run) с помощью ввода nmagent -close. Агент можно также запустить как службу на машине Windows 9.x, делая следующие изменения в реестре.
Так как агент выполняется теперь как служба на машине Windows 9.x, он будет продолжать выполняться независимо от того, зарегистрирован на компьютере пользователь или нет. Чтобы остановить службу в любое время, используйте команду nmagent -close из окна запуска (run).
Соединение с удаленными агентами
Чтобы соединиться с удаленным агентом, выберите networks из меню capture. Появившееся окно выбора сети перехвата перечисляет все установленные на машине сетевые адаптеры и один дополнительный адаптер, называемый удаленным (remote). По умолчанию его состояние определяется как разъединенное и неизвестного типа. При успешном запросе сетевого агента можно просто сделать двойной щелчок по удаленной неизвестной сети, и появится окно, показанное на рис. Введите имя машины одного из агентов, который будут возвращен этим запросом, и должно будет установиться соединение. Если агент защищен паролем, то появится диалоговое окно, запрашивающее пароль. После соединения сеанс работает таким же образом, как и локальный перехват. Можно также настроить буфера перехвата и сконфигурировать фильтр перехвата, но различия в способе работы сеанса нет.
