Донецкий техникум промышленной автоматики

Занурення в Network Monitor

  1. Перегляд пакетів і взаємозв'язків мережевого трафіку за допомогою мережевого аналізатора Microsoft
  2. Установка Network Monitor
  3. Запуск Network Monitor
  4. Відображення перехоплених пакетів
  5. Налаштування фільтрів перегляду
  6. Основи сесії TCP / IP
  7. читання пакетів
  8. Network Monitor як засіб протидії AUTH Attack
  9. Зброя для вирішення мережевих проблем
  10. ресурси
  11. Версії Network Monitor
Перегляд пакетів і взаємозв'язків мережевого трафіку за допомогою мережевого аналізатора Microsoft

Інструмент Network Monitor, реалізований в Windows і Microsoft Systems Management Server (SMS), дозволяє виконувати моніторинг мережевого трафіку. Моніторинг можна проводити в реальному часі або, перехопивши і зберігши мережевий трафік, аналізувати його пізніше. Збережені дані можуть використовуватися для усунення неполадок в локальних і розподілених мережах, а також практично у всіх пристроях, які задіюють для комунікацій протокол TCP / IP. Network Monitor має три основні області застосування.

  • Пошук несправностей в мережевих з'єднаннях. Це основна сфера застосування Network Monitor. Якщо у вас є два комп'ютери, при взаємодії яких виникають труднощі, можна скористатися функцією Network Trace для з'ясування причини проблеми. Network Monitor також використовується для перегляду пакетів TCP / IP, які пересилаються між двома пристроями, і даних, що містяться в кожному з них.
  • Оцінка мережевий продуктивності. Network Monitor дає ясну і повну картину роботи мережі. Якщо виникає підозра, що з точки зору мережевої продуктивності є вразливі місця, можна скористатися інформацією Network Monitor - наприклад, статистикою про мережевий навантаженні і даними про джерела мережевого трафіку - для пошуку таких слабких місць. Хоча зазвичай Network Monitor не використовується як базовий засіб для виявлення проблем в мережевих комунікаціях, це чудовий допоміжний інструмент, що дозволяє відшукати причину несправності і показати набагато більш детальну картину того, що відбувається, ніж це дозволяє зробити Performance Monitor.
  • Пошук пристрою, який ініціював видачу «маяка». Так званий beaconing - процес видачі комп'ютерів в мережі кільцевої топології сигналу про те, що передача маркера перервана через серйозної помилки. До появи комутованих мереж за допомогою Network Monitor відстежувалися проблеми в роботі апаратних мережевих пристроїв. Зараз Network Monitor як і раніше можна використовувати для пошуку фрагментованих або зруйнованих пакетів, що генеруються несправностей обладнанням, однак для цього слід встановити повну версію Network Monitor, яка підтримує роботу віддалених агентів і перехоплює мережеві пакети в сегменті навіть в тому випадку, коли трафік не призначений для станції, на якій запущений Network Monitor. Детальніше про дві версії Network Monitor розказано в урізанні «Версії Network Monitor». При наявності керованого комутатора за допомогою комбінації статистик і Network Monitor можна отримати вичерпну інформацію про несправності для діагностики мережного обладнання.

Установка Network Monitor

Для того щоб скористатися монітором на сервері, на якому встановлений Network Monitor або SMS, необхідна мережева карта, яка підтримує змішаний режим (так званий promiscuous mode - стан, в якому мережевий адаптер виявляє в мережі все фрейми незалежно від їх кінцевого адреси; даний режим підтримує більшість пристроїв). При установці Windows Server 2003 і Windows 2000 Server Network Monitor встановлюється тільки в тому випадку, якщо ви явно це вказали. Щоб встановити Network Monitor, що входить до складу Windows 2003 і Windows Server 2000, потрібно виконати наступні дії.

  1. Відкрити Control Panel (Start, Settings, Control Panel).
  2. Двічі клацнути Add or Remove Programs.
  3. Клацнути Add / Remove Windows Components.
  4. Клацнути Management and Monitoring Tools, потім Details.
  5. Встановити прапорець Network Monitor Tools і натиснути ОК.

Запуск Network Monitor

Як тільки Network Monitor встановлений, його можна запускати. Слід клацнути Start, Programs, Administrative Tools, Network Monitor. Можна також запустити Network Monitor з командного рядка або використовувати командний файл. На екрані з'явиться початковий екран Network Monitor. Щоб ініціювати захоплення пакетів, клацніть кнопку Capture. Розпочнеться перехоплення мережевих пакетів, і вікно Network Monitor буде виглядати приблизно так, як показано на екрані 1. Як ми бачимо, основне вікно Network Monitor складається з чотирьох областей, в яких відображається інформація різного типу.

Гістограми використання мережі. Перша область (відзначена цифрою 1 червоного кольору) містить гістограми, що відображають статистичні дані про трафік сервера. Перша смуга -% Network Utilization - найважливіша. Якщо сервер належить сегменту, до якого підключені інші комп'ютери, і значення мережевого навантаження значно перевищує 35%, можливо, мережа стане для даного сервера вузьким місцем. Ethernet використовує протокол Carrier Sensing Multiple Access with Collision (CSMA / CD) з виявленням колізій. У некомутовані Ethernet при мережевий навантаженні понад 35% число колізій занадто велике, і це катастрофічно знижує продуктивність. Якщо доведеться зіткнутися з високою мережевий завантаженням, слід розглянути можливість використання комутованого Ethernet для підвищення продуктивності.

Якщо сервер підключений до виділеного порту комутатора, мережева утилізація може бути набагато вище 35%, при цьому затримок по мережі не спостерігається. Але якщо утилізація мережі досягає 80%, варто розглянути питання про використання адаптера з двома портами або перейти на Gigabit Ethernet або 10 Gigabit Ethernet. Якщо частка широкомовних або групових пакетів або того й іншого занадто велика (більше 50% в секунду), ймовірно, в мережі є несправний мережевий адаптер, який виставляє «маяки», або ж просто занадто багато комп'ютерів видають широкомовні запити. Непогано було б збирати статистику про трафік мережі до того, як проблема виникла, тоді в разі інциденту у адміністратора вже була б історія спостережень і базові показники, щодо яких можна проводити дослідження поточного мережевого трафіку.

Мережеві з'єднання. Друга область (цифра 2 в блакитний рамці) відображає список пристроїв, з якими зв'язується даний сервер. Імена в колонці Network Address 1 є або іменами мережевих карт типу Network Monitor supported, використовуваних в мережі, або MAC-адресами (Media Access Control, MAC), якщо мережеві адаптери не підтримують функцію моніторингу. Щоб вивести список адаптерів в мережі, потрібно вибрати Options, Show Vendor Names. У колонці 1> 2 показано число пакетів, переданих пристрою в колонці Network Address 2, а в колонці 1

Мережеві статистики. Третя область (цифра 3 в зеленій рамці) показує статистику поточного захопленого мережевого пакету. Якщо планується перехоплювати пакети довше хвилини, може знадобитися збільшити розмір буфера захоплення, в іншому випадку буфер почне втрачати пакети. За замовчуванням розмір буфера складає всього 1 Мбайт і при завантаженій мережі він заповниться практично миттєво. Коли буфер стає повним, найстаріші пакети видаляються і замінюються новими. Для зміни розміру буфера потрібно вибрати Capture, Buffer Settings і змінити відповідні настройки. Встановлюваний розмір буфера не повинен перевищувати розмір фізичної пам 'яті, інакше почнеться пропуск фреймів через свопинга на диск.

Детальна інформація про пакет. Четверта область (цифра 4 в жовтій рамці) показує детальну інформацію про кількість і тип фреймів, відісланих або прийнятих з кожного пристрою. Якщо відсилається або приймається незвично велику кількість байтів з будь-якого пристрою, це може означати, що пристрій не працює належним чином або просто в даний момент пересилає по мережі величезний обсяг даних.

Фільтр збору даних може бути встановлений за допомогою меню Capture, Filter з подальшою тонким налаштуванням параметрів фільтра. Фільтр дозволяє відстежувати пакети з прив'язкою до певних протоколів, мережевих адрес або текстовим шаблонами. Це сприяє зниженню розміру буфера захоплення і може стати в нагоді в сильно завантажених мережах. Тим, хто раніше не стикався з Network Monitor, раджу не використовувати фільтр, а спершу навчитися добре орієнтуватися у всіх типах мережевого трафіку. Дуже легко відсікти потрібні дані, якщо фільтр буде встановлений занадто жорстко. Після того як перехоплення трафіку буде повністю завершено, я пропоную обмежитися фільтром відображення (про нього трохи пізніше), щоб приховати не підлягає аналізу трафік.

Відображення перехоплених пакетів

Після того як потрібний обсяг даних захоплений, слід клацнути значок Stop and View для зупинки і перегляду захоплених пакетів (на екрані 2 обведені червоним кружком). На екрані 2 показані результати процесу захоплення. Підсумкова інформація про захоплених пакетах відображається через кілька стовпчиків (в табл. 1 наведено їх опис).

Подвійне клацання по кадру дозволяє переглянути детальну інформацію про обраний пакеті (див. Екран 3). У верхній зоні вікна показані підсумкові дані про захоплених пакетах. У середній зоні розміщена докладна інформація про пакет, виділене у верхній частині зоні. У нижній зоні представлені необроблені дані пакета в шістнадцятковому вигляді. При натисканні мишею в області докладної інформації (середня зона) в нижній зоні синхронно відображається відповідна частина пакета. У середній зоні за значком плюс (+) ховається додаткова інформація. Середня зона включає наступні дані.

  • Базові властивості фрейму - загальні відомості про пакет, які зібрані Network Monitor, але не представлені в самому захопленому пакеті. Це час, коли пакет був захоплений, часовий інтервал з моменту захоплення попереднього фрейму, номер фрейма і його довжина.
  • Тема фрейму - містить MAC-адреси пакетів джерела і приймача, дані маршрутизації і число байтів в решти пакету.
  • Тема IP - містить дані про використовувану версії IP (зазвичай це IP version 4 - IPv4), довжину заголовка, тип служби, довжину пакета, заданий час життя пересилається пакета TTL (Time To Live, TTL; число пересилань маршрутизаторами даного пакета, перш ніж він буде зруйнований), а також IP-адреси джерела і приймача.
  • Тема TCP / UDP / Internet Control Message Protocol (ICMP) - містить дані про порти джерела і приймача, порядковий номер, номер повідомлення, зміщення даних, прапор TCP, вікно, контрольну суму і число байтів в решти пакету. Інформація в даній секції від протоколу до протоколу сильно розрізняється.
  • Секція даних - містить власне дані. Якщо в пакеті знаходяться дані високорівневого протоколу, такого як DNS або HTTP, Network Monitor виводить додаткову інформацію в секції даних пакета.

Налаштування фільтрів перегляду

Після того як пакети захоплені, можна вивести на екран тільки ті з них, які відповідають певним критеріям. Для цього можна скористатися фільтром перегляду Network Monitor. Потрібно вибрати меню Display, Filter і встановити всі необхідні умови. Фільтрацію можна виробляти за адресами, протоколу або властивостей протоколу. Наприклад, щоб встановити фільтр, який би показав тільки недокументований заголовок пакетів HTTP, потрібно виконати наступні дії.

  1. Вибрати Display, Filter.
  2. Клацнути Expression.
  3. Перейти на вкладку Property. У вікні Protocol: Property слід відшукати і вибрати http.
  4. Клацнути Undocumented Header.
  5. У вікні Relation вибрати exists і двічі клацнути ОК.

Основи сесії TCP / IP

Полегшена версія Network Monitor дозволяє захоплювати широкомовні пакети і вхідний і вихідний трафік тієї станції, на якій встановлено Network Monitor. Дані Network Monitor дуже нагадують вміст журналу брандмауера, тільки вони набагато детальніше. Спочатку потік даних з перехопленими пакетами може здатися страшним через свого обсягу. Щоб пом'якшити початковий шок, варто заздалегідь дізнатися, куди дивитися і що шукати при інтерпретації даних перехоплення. Але перш ніж вивчати, як слід читати дані пакета, познайомимося з основами сесії TCP / IP. На самому базовому рівні сесія TCP / IP включає наступні компоненти.

  1. Установка сесії (тристоронній процес квітірованія). Сесія TCP / IP починається з процесу квітірованія (handshake). Комп'ютер-джерело, запитувач відкриття сесії, посилає синхронизирующий (SYN) пакет на комп'ютер-приймач. Комп'ютер-приймач відповідає пакетом повідомлення (ACK) і встановлює розмір вікна даних (data window size). Після цього комп'ютер-джерело посилає свій ACK-пакет на комп'ютер-приймач для підтвердження розміру вікна даних.
  2. Передача даних. Під час сесії дані передаються між двома комп'ютерами, причому комп'ютер-одержувач посилає ACK-пакет майже кожен раз при отриманні даних від відправника. У нормальних умовах пересилаються пакети ACK або PSH. Під час сесії передачі даних число пакетів, які надсилаються без вимоги підтвердження (ACK-пакети), може змінюватися в залежності від обсягу мережевого трафіку і розміру буфера на комп'ютері-приймачі. Ця ситуація відома як розсувне або ковзне вікно (sliding window), так як обсяг переданих даних може «розсуватися», поки не буде потрібно ACK-пакет.
  3. Закриття сесії (модифікований тристоронній процес квітірованія). Якщо має місце штатний закриття сесії, то відправник (т. Е. Комп'ютер, який ініціює закриття сесії), посилає фінішний пакет (FIN), що означає, що передача даних завершена повністю. Одержувач посилає ACK відправнику, повідомляючи його про отримання FIN-пакета, а потім йому ж посилає FIN-пакет. Після цього відправник посилає ACK-пакет одержувачу. Закриття сесії може бути і нештатним. У цьому випадку відправник передає пакет одержувачу, але останній не підтверджує його отримання. Тоді відправник намагається повторно відправити той же пакет одержувачу і робить це до тих пір, поки не буде досягнутий максимум числа повторних спроб, і тоді сесія завершується аварійно.

читання пакетів

Як відомо, перш ніж мережевий трафік потрапляє в мережу, він розбивається на пакети. Більшість пакетів в мережі зазвичай доводиться на TCP; однак можуть зустрічатися і інші типи пакетів, наприклад DNS, ICMP, NetBIOS over TCPIP (NBT) і UDP. Кожен пакет має спеціальний TCP-прапор в секції заголовка пакета і інші прапори, які перераховані нижче в тому порядку, в якому вони з'являються в заголовку.

  • U (URG) - терміновість; дані передаються позачергово.
  • A (ACK) - повідомлення про успішне прийомі даних; повідомляє про те, що відправник знає про отримання пакета. Одержувач пакету посилає ACK-пакет, в який включено порядковий номер відправника плюс довжина пакета даних, щоб проконтролювати, що інформація пакета була прийнята правильно.
  • P (PSH) - примусова доставка даних до того, як буфер буде заповнений. Цей прапор зазвичай використовується для інтерактивного трафіку.
  • * R (RST) - скидання; аварійне завершення сесії. Присутність великої кількості пакетів з прапором RST говорить про проблеми в мережі.
  • S (SYN) - застосовується для відкриття сесії і отримання початкового номера послідовності. Часто використовується для атак типу «відмова в обслуговуванні» (Denial of Service, DoS). Хакери можуть спробувати ініціювати велике число сесій з невірного IP-адреси, змусивши сервер відповідати пакетами ACK на неіснуючу адресу IP. У більшості брандмауерів передбачені заходи щодо захисту від DoS-атак.
  • F (FIN) - штатний завершення сесії TCP. Пакет FIN означає, що відправник закінчив передачу даних.

Спостереження за прапорами. Більшість із них мають трафік, що складається в основному з ACK- і PSH-пакетів. Якщо сервер не генерує постійно нових сесій, то пакетів SYN має бути відносно небагато. Сервери з величезним числом SYN-пакетів, ймовірно, зазнали однієї з різновидів DoS-атаки (інакше званої SYN flood). Число FIN-пакетів і SYN-пакетів має бути приблизно однаковим. RST буває небагато. Велике число пакетів RST може бути симптомом нестійких мережевих з'єднань, несправних адаптерів, високого мережевого трафіку, збоїв в роботі комутаторів або хабів яких збоїв в роботі іншого мережевого обладнання.

Номери портів. Як ми знаємо, пакети TCP / IP ідентифікують порт джерела і приймача пакета. При читанні інформації про пакет потрібно вести журнал приймають і передають портів сервера. Слід також добре розбиратися в номерах загальноприйнятих портів і портів, використовуваних в Windows. Якщо в перехоплений трафік виявиться невідомий порт, це може бути ознакою активності хакерів. В табл. 2 наведено список найбільш часто використовуваних портів.

Після запуску процесу перехоплення пакетів можна скористатися дисплейним фільтром для відображення пакетів якогось специфічного протоколу. Наприклад, якщо локалізувати проблеми в HTTP-судинних, перехопити за допомогою Network Monitor трафік обміну, а потім відфільтрувати пакети HTTP (порт 80) для локалізації проблем зв'язку в даному конкретному протоколі.

Повторні передачі пакетів. Network Monitor может використовуват для вирішенню проблем на Рівні взаємодії комп'ютерів. Зверніть увагу на пакети повторної передачі (т. Е Пакети з прапором R в заголовку пакета), Які ма ють більш трівалі тайм-ауті и статічні порядкові номери на безлічі пакетів. Ретрансміссіі вінікають в тому випадка, коли обмін данімі между двома комп'ютерами БУВ з якоїсь причини перерваній - например, через несправностей обладнання або затрімок WAN. При появі ретрансміссіі тайм-аут збільшується вдвічі, поки число повторних Спроба НЕ досягнено 5 (за замовчуванню). На екрані 4 показань перехопленій трафік в ситуации, коли во время передачі файлу по FTP від ​​комп'ютера-клієнта від'єдналі мережевий кабель. Номери фреймів з 834 по 992 (ліва колонка у верхній части) ма ють однакові порядкові номери для всіх пакетів, что вказує на неполадки в з'єднанні. У фреймах з Тисячі сто сімдесят две по 1385 знову зустрічається тієї ж самий порядковий номер. При нормальному FTP-трафіку порядковий номер в кожному пакеті повинен зростаті, а не залішатіся незміннім. Зверніть увагу, що треба було в цілому 10 пакетів для аварійного завершення передачі по FTP - п'ять повторних спроб передати дані і ще п'ять повторних спроб закрити з'єднання. Зауважте мітку часу 77.012668 в 834-му розіграші. Часовий інтервал між 834-м і 845-м фреймами (77,668893-77,012668) становить 0,656225. Між 845-м і 868-м фреймами - 1,312449, що вдвічі більше 0,656225. Для кожного наступного пакета час подвоюється, поки не буде досягнутий максимум числа повторних спроб (в даному випадку п'ять).

При використанні повільного з'єднання з WAN або лінії з великим розкидом швидкості з'єднання максимальну кількість спроб, можливо, буде потрібно збільшити. Для цього на сервері, де запускається Network Monitor, потрібно знайти розділ реєстру HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ServicesTcpipParameters і додати параметр (тип DWORD) TcpMaxDataRetransmissions. Встановіть значення decimal і вкажіть число більше 5.

Спостереження за пакетом може підказати оптимальне значення цього параметра для конкретної середовища роботи. Наприклад, в разі проблеми ретрансміссіі слід збільшити TcpMaxDataRetransmissions до свідомо більшого значення, наприклад 20, і подивитися, скільки з'єднань відновлюють передачу даних. Якщо виявиться, що більшість сесій FTP задовольняється, скажімо, вісьмома ретрансміссіі, потрібно перевстановити TcpMaxDataRetransmissions на сервері в значення 9. Це кілька загальмує роботу сервера, якщо мережа WAN перестала працювати, але з'єднання з клієнтом і раніше буде активним.

Спочатку величина тайм-ауту для будь-якої сесії дорівнює 3 секундам, а потім вона налаштовується в залежності від швидкості з'єднання. Ми розглядали приклад з LAN, тому найперша повторна спроба з'єднання була зроблена через дуже короткий проміжок часу - 0,65 с. Для повільного WAN-з'єднання збільшення максимуму ретрансміссіі може привести до тривалої затримки в роботі сервера, перш ніж з'єднання буде обірвано по тайм-ауту. Якщо використовується повільний канал зв'язку і початкове значення тайм-ауту дорівнює п'яти секундам, скільки часу з'єднання буде «висіти» при максимальній ретрансміссіі 6? Відповідь - 315 секунд, або довше 5 хвилин (5 + 10 + 20 + 40 + 80 + 160).

Network Monitor як засіб протидії AUTH Attack

Одним із прикладів практичного застосування Network Monitor може служити аналіз вхідного і вихідного трафіку, якщо виникла підозра, що сервер піддається атаці ззовні. Можливо, багатьом доводилося стикатися з таким типом атаки, коли спамери бомбардують сервер Exchange командами SMTP AUTH до тих пір, поки не вдається успішно зареєструватися на сервері. За замовчуванням Microsoft Exchange Server 2003 і Microsoft Exchange 2000 Server дозволяють поштового сервера ретранслювати повідомлення, якщо відправник зміг виконати аутентифікацію, вказавши правильне ім'я і пароль. Отримати правильне ім'я і пароль спамер може за допомогою атаки на поштовий сервер перебором імен і паролів або використовуючи деякі специфічні типи атак на мережу. Ви можете включити журнал Exchange Diagnostics Logging і встановити максимальне значення для параметра MSExchangeTransport Categories, який показує User ID, який використовується для аутентифікації на сервері. Однак оснащення Microsoft Management Console (MMC) Event Viewer зазвичай не відображає IP-адреса спамера. Ця електронна адреса можна отримати, відстеживши трасу пакета.

  1. Встановіть Network Monitor на сервер Exchange і почніть збирати пакети. Звичайно, для отримання шуканого IP-адреси потрібно дочекатися, поки спамер не виконає аутентифікацію на сервері. Може знадобитися збільшити розмір буфера, щоб не втратити пакети. Після аутентифікації спамера на сервері перехоплення пакетів слід зупинити.
  2. Встановіть фільтр TCPDestination Port 25 (см. Екран 5). Для цього виберіть Display, Filter і рядок Protocol == Any в вікні Display Filter. Натисніть кнопку Edit Expression, потім перейдіть на вкладку Property. Двічі клацніть + TCP, потім виберіть Destination Port. Клацніть == у вікні Relation, виберіть Decimal (нижче вікна Value), введіть значення 25 (SMTP) і клацніть ОК
  3. Знайдіть команду Auth Login. Перевіряйте дані в кожному SMTP-пакеті, поки не знайдете пакет, який містить Auth Login. У верхній частині вікна в колонці Src Other Addr покаже IP-адреса спамера. Хоча IP-адреса може бути помилковим, ви принаймні зможете заблокувати трафік через 25-й порт від цієї адреси для запобігання подібної ситуації в майбутньому. Ще краще відключити Basic and Integrated Windows Authentication на будь-якому зовнішньому сервері Exchange, щоб не дозволити користувачам виконувати аутентифікацію на поштовому сервері при відправці пошти.
  4. Знайдіть ім'я користувача: наступна командний рядок в поле даних TCP повинна містити ім'я та пароль, які вводилися для аутентифікації. Однак ці дані зашифровані кодером Base64, так що потрібно скористатися декодером Base64 для розшифровки. В Internet є безліч кодер / декодерів Base64. Слід попрактикуватися на декодере Dillfrog і розшифрувати з його допомогою ім'я c3BhbW1lcg == і пароль cmVsYXk =. Декодовані відповіді наведені в кінці статті. Звичайно, як вже зазначалося раніше, можна підвищити і рівень збирається сервером Exchange діагностики для перегляду User ID, який використовувався для аутентифікації на сервері.

Зброя для вирішення мережевих проблем

Network Monitor - зручний інструмент для локалізації несправностей в мережі, але для досягнення найкращих результатів він вимагає деякого досвіду. Вивчити основи роботи з Network Monitor бажано до того, як в мережі виникнуть неполадки. Визначте базові характеристики вашої мережі і не чекайте того моменту, коли будете змушені навчатися роботі з Network Monitor в «бойових» умовах. Network Monitor і інші мережеві аналізатори незалежних постачальників програмного забезпечення вимагають експертного відносини для швидкої локалізації та ліквідації проблем. Не гаючи часу, візьміться за вивчення Network Monitor і використовуйте його багаті можливості.

Відповіді наприклад декодування:
c3BhbW1lcg == spammer
cmVsYXk = relay

ресурси

статті Microsoft

How to Automate Network Captures with Network Monitor
com/?kbid=158744> http://support.microsoft.com/?kbid=158744

Web-сайти

Dillfrog Base64 Encoder

Версії Network Monitor

Існує дві версії Network Monitor: повна версія, яка поставляється разом з Microsoft Systems Management Server (SMS), і полегшена версія, що поставляється разом з Windows Server 2003, Windows Server 2000 і Windows NT Server 4.0. Полегшена версія містить деяку підмножину команд повної версії. У даній статті основну увагу буде приділено полегшеної версії Network Monitor, оскільки більшість користувачів працює саме з нею. Версії Network Monitor мають кілька відмінностей.

  • Захоплення трафіку. Найбільш істотні відмінності між версіями полягають в типі мережевого трафіку, який може бути перехоплений. Полегшена версія дозволяє перехопити лише широкомовний трафік і трафік, який надсилав або приймається зі станції, на якій встановлено Network Monitor. Повна версія може перехоплювати весь трафік сегмента незалежно від джерела або приймача переданих пакетів. Для комутованих мереж більшість серверів (і деяка частина робочих станцій) підключені до виділених комутованих портів. Це призводить до того, що перехопити трафік з інших сегментів стає складніше, оскільки комутатори нерідко ізолюють мережевий трафік рівня 2 і 3 в тих сегментах, де два пристрої обмінюються пакетами. Повна версія Network Monitor дозволяє перехопити дані з віддалених агентів, встановлених в різних мережевих сегментах. Це особливо зручно при пошуку несправностей в віддаленому сегменті.
  • Experts. Цей інструмент доступний тільки в повній версії. Він дає докладні роз'яснення щодо перехопленого трафіку і дешифрує пакети.
  • Find Routers. Це команда меню Tools, вона доступна тільки в повній версії. З її допомогою можна ідентифікувати IP-адреси мережевих маршрутизаторів.
  • Resolve Addresses from Name. Це команда меню Tools, вона доступна тільки в повній версії. Дана команда дозволяє вирішити адреси по імені Fully Qualified Domain Name (FQDN).

Якщо необхідно виконати моніторинг віддалених сегментів або потрібна функціональність, відсутня в полегшеної версії, варто розглянути можливість придбання SMS та отримання повної версії Network Monitor. Або ж можна рекомендувати придбати мережевий монітор незалежного постачальника програмного забезпечення з підтримкою моніторингу віддалених сегментів. До того як комутовані мережі стали популярними, було набагато простіше перехоплювати мережеві дані, оскільки один і той же мережевий сегмент використовувався великим числом комп'ютерів. До появи комутованих мереж я використовував Network Monitor в основному для пошуку «маяків» або несправних мережевих карт, які порушували роботу мережі. Сьогодні керовані комутатори вміють виконувати цю функцію самостійно. Якщо використовується керований комутатор і є підозра на некоректну роботу NIC або іншого пристрою, слід перевірити статистику комутатора і звернути увагу на порти, для яких виявлено велику кількість пакетів і / або помилок. Після того як ідентифікований потенційно несправний порт, потрібно запустити Network Monitor і перехопити мережевий трафік порту. Також можна як і раніше використовувати Network Monitor як традиційний засіб перехоплення пакетів для ідентифікації проблем з'єднання, контролю утилізації мережі і моніторингу серверного мережевого трафіку.

Алан Сугано ( [email protected] ) - президент компанії ADS Consulting Group, що спеціалізується на мережевих технологіях, програмуванні, проектуванні на базі Microsoft .NET і SQL Server.

Якщо використовується повільний канал зв'язку і початкове значення тайм-ауту дорівнює п'яти секундам, скільки часу з'єднання буде «висіти» при максимальній ретрансміссіі 6?
Com/?