Посетителей: 50031 | Просмотров: 65750 (сегодня 0)
В первой части этой статьи я рассказал о различиях между двумя версиями сетевого монитора (Network Monitor) и о процессе установки. В этой статье я хочу продолжить обсуждение и показать вам, как использовать сетевой монитор (Network Monitor).
Как я объяснял в предыдущей статье, есть две различных версии сетевого монитора Network Monitor. В рамках этой статьи я буду использовать полную версию, которая входит в состав SMS Server 2003 с пакетом обновления Service Pack 1.
Содержание
Интерфейс сетевого монитора (Network Monitor)
Когда вы запускаете сетевой монитор (Network Monitor), первое, что вы видите, это окно, в котором вы должны выбрать сетевой интерфейс, с которого вы будете захватывать данные. Это важно, т.к. если вы пренебрежете выбором интерфейса, то сетевой монитор (Network Monitor) выберет его за вас, при этом это может быть вовсе не тот интерфейс, который вы хотели использовать.
Просто нажмите на кнопку OK, и вы увидите окно, похожее на то, что изображено на рисунке A. Просто выберете сетевой интерфейс (network interface), который вы хотите использовать и нажмите на кнопку OK.
Рисунок A : Вы должны выбрать сетевой интерфейс, который вы хотите контролировать
После этого сетевой монитор (Network Monitor) отобразит главное окно, которое используется для перехвата, и которое изображено на рисунке B. Перед тем, как я покажу вам, как использовать это окно, я лишь хочу упомянуть, что сетевой монитор Network Monitor попросит выбрать сеть, для которой вы хотите осуществить мониторинг лишь один раз, в момент первого запуска. Если на вашем компьютере лишь один сетевой адаптер (network adapter), то нет никаких проблем. Но если ваша система является многосетевой, то вы, вероятнее всего, захотите иметь возможность переключаться между сетевыми сегментами.
Рисунок B : Окно захвата сетевого монитора (Network Monitor)
К несчастью, вы не можете контролировать сетевой трафик одновременно для нескольких сетевых сегментов, но вы можете переключаться между сегментами, даже несмотря на то, что сетевой монитор (Network Monitor) не будет больше автоматически запрашивать выбор сегмента, который вы хотите контролировать. Чтобы сделать это, просто выберете команду Networks (сети) из меню Capture (захват). В результате этого появится окно, похожее на то, что изображено на рисунке A. Самое главное отличие между этими двумя окнами будет заключаться в том, что на последнем окне есть также параметр Remote (Удаленно), который позволяет вам удаленно захватывать пакеты.
После всего вышесказанного, давайте посмотрим на экран захвата (capture screen). Как вы можете увидеть из рисунка, это окно состоит из четырех различных панелей. Панель в верхней левой части окна называется графической панелью (graph pane). Графическая панель графически отображает текущий уровень активности в процессе захвата. Она содержит графики, который отображают общий процент загрузки сети, количество фреймов, захваченных за секунду, количество байт, захваченных за секунду, и количество передач за секунду.
Вы могли увидеть на рисунке полосу прокрутки, привязанную к графической панели. Эта полоса прокрутки лишняя, т.к. нет никаких графиков, кроме того, что изображен на рисунке.
Прямо по графической панелью располагается панель со статистикой сессии (session statistics pane). Панель статистики сессии необходима для отображения общей информации о перехваченном трафике. В этом окне отображаются такие параметры, как сетевые адреса компьютеров, участвующих во взаимодействии, а также информация о компьютере, который инициировал взаимодействие.
Нижняя секция окна содержит панель со статистикой сессии. На этой панели отображается информации о захвате с разбивкой на компьютеры. Сетевой адрес каждого компьютера отображается наряду с количеством переданных и полученных фреймов, количеством переданных и полученных байтов.
Правая секция окна содержит панель общей статистики (total statistics pane). Как следует из названия, на этой панели отображается статистика, связанная со всем трафиком, который был перехвачен. На этой панели отображается та же самая информация, что и на других панелях, о которых я говорил выше. Различие заключается в том, что панель общей статистики не отображает информацию с разбивкой по компьютерам.
Захват сетевого трафика
Теперь, когда вы немного ориентируетесь в интерфейсе сетевого монитора Network Monitor, пришло время захватить некоторый сетевой трафик. Если вы посмотрите на рисунок B, то заметите, что есть панель инструментов, расположенная над графической панелью. Эта панель инструментов используется для контроля процесса захвата. Кнопку, связанные с захватом, следующие:
| Capture Data (перехват данных) |
| Pause, resume (приостановка перехвата или возобновление приостановленного перехвата) |
| Stop (остановка процесса перехвата) |
| Stop, view (остановка перехвата и просмотр перехваченных данных) |
| View (просмотр захваченных данных) |
| Help (Помощь) |
Чтобы перехватить данные с помощью сетевого монитора Network Monitor, просто нажмите на кнопку Capture Data (захват данных). Сетевой монитор Network Monitor начнет захватывать данные и не остановится до тех пор, пока вы не нажмете на кнопку pause (приостановить) или stop (остановить). Процесс перехвата данных выглядит примерно так, как изображено на рисунке C.
Рисунок C : Так выглядит сетевой монитор во время перехвата данных
Если вы посмотрите на рисунок, то вы обратите внимание, что в нем содержится огромный объем статистики, но не реальных данных. Если вы хотите увидеть данные, которые были перехвачены, то вы должны нажать на кнопку View Data (просмотр данных) на панели инструментов. После этого вы увидите окно, похожее на то, что изображено на рисунке D.
Рисунок D : Так выглядят захваченные данные
Если вы повнимательнее посмотрите на захваченные данные, то вы увидите, что сетевой монитор Network Monitor действительно отображает отдельные перехваченные фреймы. Этот экран отображает список номеров фреймов, время, когда был захвачен фрейм, адрес отправителя и получателя, используемый протокол, но он не отображает данные, содержащиеся внутри фрейма. К счастью, существует простой способ для просмотра более подробной информации.
Если вы посмотрите на панель инструментов, то увидите три кнопку, каждая из которых состоит из трех прямоугольников
Эти кнопки позволяют вам переключаться между общей панелью (summary pane), панелью с подробной информацией (details pane) и шестнадцатиричной панелью (hexadecimal pane). Если включены все три панели, то вы можете подробную информацию о выбранном фрейме, что изображено на рисунке E.
Рисунок E : Три панели позволяют вам получить исчерпывающую информацию о выбранном фрейме
Как вы можете увидеть из рисунка, панель Details отображает информацию о протоколе для выбранного фрейма. Если фрейм содержит несколько протоколов, самый крайний протокол представлен в списке первым. Шестнадцатиричная панель (hexadecimal pane) отображает реальные данные, составляющие фрейм. Обратите внимание, что на панели Details выбрана часть фрейма. Выделенная часть затем подсвечивается на шестнадцатиричной панели (Hexadecimal pane), чтобы помочь вам изолировать данные.
Заключение
В этой статье я рассказал об основах использования сетевого монитора (Network Monitor). В третьей части я покажу вам пример захвата, а также научу вас анализировать захваченные данные.
Изучаем Network Monitor. Часть 5
В предыдущей части этой серии я показал, что даже простой сетевой перехват может превратиться в сотни пакетов, вам совершенно не нужных. Я также показал, как отфильтровать эти «шумовые» пакеты, так чтобы вы могли видеть только интересные вам пакеты. Теперь я хочу продолжить обсуждение, показав вам, как вскрывать оставшиеся пакеты, так чтобы вы могли видеть содержащиеся в них данные.
В конце предыдущей статьи наш отфильтрованный набор пакетов выглядел так, как показано на Рисунке A. Как я объяснял в начале серии статей, я захватил эти данные, начав захват с помощью команды PING, а затем остановив захват. Моей целью было упростить все, насколько это возможно. Если вы посмотрите на Рисунок A, вы увидите, куда были отправлены ICMP пакеты, и где были получены ответы.
Рисунок A. Обычно полезно исключить ненужные пакеты.
Если бы это был настоящий захват, обычно не было бы никакой нужды погружаться глубже в данные, так как вы можете точно сказать, что происходит, исходя из колонки Description (Описание). Однако в реальности обычно все не так просто. Четкое определение происходящего при трассировке обычно требует просмотра индивидуальных пакетов.
Вообще-то ничего особенно значительного внутри ICMP пакета я показать не могу. Поэтому давайте посмотрим на некоторые захваченные LDAP пакеты. Как вы, наверное, знаете, LDAP означает Light Weight Directory Access Protocol (Облегченный протокол доступа к каталогам). LDAP используется для чтения информации из и записи информации в Active Directory.
Существуют две причины, почему я хочу вам показать, как анализировать LDAP пакеты. Во-первых, в сетях Windows LDAP пакеты — очень частое явление. А раз так, то вам в какой-то момент наверняка понадобится расшифровать LDAP пакеты.
Вторая причина, по которой я хочу показать вам, как просматривать внутренности LDAP пакета, состоит в том, что в этих пакетах содержатся данные, которые может прочитать человек. Это поможет вам понять, что в действительности делает пакет. Технология, которую я вам хочу показать, может использоваться для просмотра содержимого любого пакета; правда, не каждый пакет окажется вам понятным, конечно, если вы не эксперт по протоколам.
Взгляд внутрь пакета
Давайте начнем с просмотра содержимого фрейма номер 284. Описание просто говорит, что этот фрейм является поисковым запросом. Факт тот, что о машине, запускающей поисковый запрос LDAP, много не узнаешь. Единственный путь узнать, из чего состоит поисковый запрос, — посмотреть внутрь пакета.
Перед тем, как открыть пакет, щелкните на иконки, чтобы включить панель деталей и панель шестнадцатеричной записи. Когда все панели отобразятся, выберите пакет, на который вы хотите взглянуть. Когда вы это сделаете, вы увидите экран, похожий на то, что показано на Рисунке B.
Первое, что я хочу показать, — панель деталей. Если вы посмотрите на эту панель, вы заметите, что тут есть несколько разных расширяемых контейнеров (Frame, Ethernet, IP, TCP и LDAP). Причина такого разнообразия в том, что пакеты обычно иерархичны по своей природе. Пакет, который мы рассматриваем, является LDAP пакетом, но у компьютеров ведь LDAP не является родным языком. LDAP в действительности основывается на TCP протоколе. TCP, в свою очередь, является частью IP протокола. Каждый контейнер в панели деталей представляет собой индивидуальный слой инкапсуляции.
Если вы посмотрите на панель шестнадцатеричной записи, вы увидите шестнадцатеричное представление индивидуальных байтов, который составляют пакет. Обратите внимание, что каждый байт показывается на черном фоне. Причиной этому служит то, что таким образом отмечаются байты, которые соответствуют части пакета, выбранной в панели деталей. В данном конкретном случае выбран контейнер FRAME. Этот контейнер представляет весь фрейм, поэтому весь фрейм и высвечивается черным. Если бы я выбрал LDAP, тогда бы высветились черным только те байты, которые соответствуют данным LDAP (Рисунок C).
Рисунок C. В панели шестнадцатеричной записи отображается текущая часть пакета.
Вы, возможно, заметили, что каждый контейнер расширяемый. Щелкнув на знак плюса рядом с контейнером, вы проникните глубже в пакет. Часто возможно увидеть, что делает пакет, просто посмотрев глубже во фрейм. Если вы посмотрите внимательнее на Рисунок C, вы сможете увидеть несколько читаемых слов в кодировке ASCII выбранных шестнадцатеричных данных. Однако, эти «читаемые» данные довольно трудно прочитать. Слова начинаются на одной линии и заканчиваются на другой, и зачастую разделены непонятными символами. Черное выделение тоже усложняет чтение этой секции из-за напряжения, которое требуется для прочтения.
Более удобным способом просмотра содержимого пакета является расширение раздела LDAP пакета из панели Detail. Расширение контейнера LDAP обнаруживает, что этот конкретный пакет является LDAP поисковым запросом, как показано на Рисунке D. Это означает, что пакет был отправлен как попытка встать в очередь Active Directory.
Рисунок D. Расширение раздела LDAP пакета обнаруживает, что пакет является LDAP поисковым запросом.
Итак, теперь мы знаем, для чего нужен этот пакет, но мы пока еще не знаем, что этот пакет делает. LDAP запрос является попыткой получить информацию из Active Directory, но какую именно информацию он пытается получить? Если вы расширите контейнер LDAP: Protocol0p = SearchRequest, вы сможете увидеть, что один из подконтейнеров отмечен как Attribute Description List (Рисунок E). Если вы посмотрите на этот рисунок, вы заметите, что список Attribute Description List соответствует наиболее понятной части данных, отображаемых в панели шестнадцатеричной записи.
Рисунок E. LDAP поисковые запросы всегда сопровождаются списком распределения атрибутов.
Вы также заметите по рисунку, что контейнер Attribute Description List является расширяемым. Если вы его расширите, вы сможете увидеть, что Network Monitor четко отображает, какие атрибуты LDAP фрейма запрашивают информацию (Рисунок F).
Рисунок F. Network Monitor четко отображает, какие атрибуты LDAP фрейма запрашивают информацию.
Заключение
В этой серии статей я описал основы использования Network Monitor. Microsoft скоро выпустить Network Monitor версии 3, но все, что я описал в этих статьях, будет работать и в новой версии.
Автор: Брайн Позей (Brien Posey)
Источник: www.netdocs.ru
Этот пост December 22, 2007 at 5:32 pm опубликовал molse в категории Полезные утилиты. Желающие могут оформить RSS подписку на комменты. Both comments and trackbacks are currently closed.
В этом разделе вы узнаете, как использовать сетевой монитор Microsoft 3,4, который является средством для захвата сетевого трафика.
Чтобы приступить к работе, скачайте и запустите NM34_x64. exe. При установке сетевого монитора он устанавливает драйвер и подключает его ко всем сетевым адаптерам, установленным на устройстве. Вы увидите одно и то же на вкладке Свойства адаптера, как показано на рисунке ниже.
Если драйвер подключен к сетевому интерфейсу (NIC) во время установки, сетевая карта инициализируется повторно, что может привести к сбою в работе сети.
Чтобы записать трафик
Запустите NetMon в состоянии с повышенными привилегиями, выбрав команду Запуск от имени администратора.
Откроется сетевой монитор с отображением всех сетевых адаптеров. Выберите Сетевые адаптеры, для которых вы хотите записать трафик, нажмите кнопку создать запись, а затем нажмите кнопку начать.
Воспроизведите этот вопрос, и вы увидите, что сетевой монитор извлекает пакеты по каналу связи.
Нажмите кнопку остановитьи перейдите в раздел файл > сохранить как , чтобы сохранить результаты. По умолчанию файл сохраняется как файл ". Cap".
Сохраненный файл получил весь трафик, который передается на выбранные сетевые адаптеры на локальном компьютере и с него. Тем не менее, вам нужно будет просмотреть трафик и пакеты, которые связаны с проблемой, связанной с конкретным подключением. Поэтому вам потребуется отфильтровать сетевое перезапись, чтобы просмотреть только связанный трафик.
Часто используемые фильтры
- IPv4. Address = = "клиент IP" и IPv4. Address = = "IP-адрес сервера"
- TCP. Port = =
- UDP. Port = =
- —
- Модуле
- Property. ткпретранмитс
- Property. ткпрекуестфастретрансмитс
- TCP. flags. SYN = = 1
Если вы хотите отфильтровать захват для определенного поля и не знаете синтаксис этого фильтра, просто щелкните его правой кнопкой мыши и выберите команду Добавить выбранное значение для отображения фильтра.
Трассировки сети, собранные с помощью команд netsh , встроенных в Windows, имеют расширение ETL. Тем не менее, эти файлы ETL можно открыть в сетевом мониторе для дальнейшего анализа.
