Monitor sieci

Monitor sieci wbudowany w Windows
Autorzy:
Robert Milczarski
Łukasz Stegliński
Maciej Łaski
Materiały zaczerpnięte ze strony:
http://www.microsoft.com/poland/windows2000/win2000serv/PR_SER/roz09.mspx
1. Informacje ogólne:
Administratorzy sieci używają wbudowanego Monitora sieci Microsoft Windows do
przeglądania i wykrywania problemów związanych z siecią lokalną (LAN). Przykładowo,
administrator sieci może korzystać z Monitora sieci do diagnozowania problemów ze
sprzętem lub oprogramowaniem, w wyniku których dwa lub więcej komputerów nie może się
ze sobą komunikować. Można także skopiować dziennik aktywności sieci w formie pliku, a
następnie przesłać plik do profesjonalnego analityka sieci lub organizacji wspierającej.
Twórcy aplikacji sieciowych mogą używać Monitora sieci do monitorowania i debugowania
aplikacji sieci w trakcie ich powstawania.
Monitor sieci monitoruje strumień danych sieci, składający się z wszelkich informacji
przesyłanych za pomocą sieci w dowolnym momencie. Przed rozpoczęciem transmisji
informacje te są rozdzielane przez oprogramowanie sieci na mniejsze części, nazywane
ramkami lub pakietami. Każda ramka składa się z:
• Adresu źródłowego komputera, który przesłał tą wiadomość.
• Adresu docelowego komputera, który otrzymał tą wiadomość.
• Nagłówków każdego protokołu używanego do przesłania tej ramki.
• Danych lub porcji wysyłanych informacji
Proces, za pomocą którego Monitor sieci kopiuje ramki, określa się mianem
przechwytywania. Monitora sieci używa się do przechwytywania całego ruchu lokalnego,
Można również wybrać podzbiór ramek do przechwycenia lub spowodować wywołanie
przechwytywania w odpowiedzi na zdarzenia w sieci. Przykładowo, można ustalić
uruchomienie przez sieć pliku wykonywalnego po wykryciu przez Monitor sieci wystąpienia
określonego zestawu warunków w sieci.
Po przechwyceniu danych można je oglądać w Monitorze sieci za pomocą interfejsu
użytkownika. Monitor sieci wykonuje większą część analizy danych tłumacząc przechwycone
surowe dane na logiczną strukturę ich ramek.
Z powodów bezpieczeństwa Monitor sieci Windows przechwytuje tylko te ramki, które są
przesyłane z lub do komputera lokalnego, z ramkami emisji i multiemisji włącznie. Monitor
sieci wyświetla także całkowitą statystykę segmentów sieci dla ramek emisji, ramek
multiemisji, wykorzystania sieci, całkowitej liczby bajtów otrzymywanych na sekundę oraz
całkowitej ilości ramek otrzymywanych na sekundę.
2. Instalacja Monitora sieci
Aby ustawić Monitor sieci, należy wykonać dwie czynności:
a) Zainstalować sterownik Monitora sieci na dowolnym komputerze, z którego będą
przechwytywane dane do analizy za pomocą Monitora sieci.
b) Zainstalować narzędzia Monitora sieci na komputerze pracującym z Windows Server,
na który będą zbierane dane.
Instalacja sterownika nie oznacza automatycznej instalacji Monitora sieci. Aby
zainstalować Monitor sieci, należy zainstalować Narzędzia Monitora sieci na komputerze
pracującym w systemie Windows Server.
Ad a) Aby zainstalować sterownik Monitora sieci:
1. Kliknij Start, wybierz Ustawienia, kliknij Panel Sterowania, a następnie
dwukrotnie kliknij Połączenia sieciowe i telefoniczne.
2. W Połączeniach sieciowych i telefonicznych kliknij prawym przyciskiem
Połączenie lokalne, a następnie kliknij Właściwości.
3. W oknie dialogowym Właściwości połączenia lokalnego, kliknij Zainstaluj.
4. W oknie dialogowym Wybieranie typu składnika sieci kliknij Protokół, następnie
Dodaj.
5. W oknie dialogowym Wybieranie protokołu sieciowego wybierz Sterownik
Monitora sieci, następnie kliknij OK.
W przypadku pytania o dodatkowe pliki, należy włożyć dysk CD z Windows lub
wpisać ścieżkę dostępu do plików w sieci.
Ad b) Aby zainstalować Narzędzia Monitora sieci:
1. Kliknij Start, wybierz Ustawienia, kliknij Panel Sterowania, a następnie dwa razy
kliknij Dodaj/Usuń Programy.
2. W oknie dialogowym Dodaj/Usuń Programy kliknij dwa razy Dodaj/Usuń
Składniki Windows.
3. W oknie dialogowym Kreatora komponentów Windows wybierz Następny.
4. W Składnikach, naciśnij Narzędzia zarządzania i monitorowania, a następnie
kliknij przycisk Szczegóły.
5. W Podskładnikach narzędzi zarządzania i monitorowania wybierz opcję Narzędzia
Monitora sieci, a następnie kliknij OK.
6. Kliknij Następny, aby kontynuować instalację, potwierdź jej zakończenie
naciśnięciem klawisza Zakończ i Zamknij, aby wyjść.
Narzędzia Monitora sieci instalują Monitor sieci wraz ze sterownikiem Monitora sieci.
Jeśli używany jest system Windows Server oraz instalowane są Narzędzia Monitora sieci,
można pominąć procedurę poprzedzającą. Nie ma potrzeby dodatkowej instalacji sterownika
Monitora sieci.
3. Uruchomienie Monitora sieci
1. Kliknij Start, wybierz Programy, a następnie wybierz Narzędzia administracyjne.
2. W Narzędziach administracyjnych, kliknij Monitor sieci.
Informacje na temat pracy z interfejsem użytkownika Monitora sieci znajdują się w
Pomocy Windows Server.
4. Przechwytywanie danych z ramek
Po zainstalowaniu sterownika Monitora sieci na komputerze, z którego będą zbierane
dane (dalej zwanym komputerem źródłowym) i zainstalowaniu Narzędzi Monitora sieci na
komputerze, który będzie zbierał te dane (zwanym dalej komputerem docelowym), można
rozpocząć proces przechwytywania danych.
Ad ) Aby zbierać dane:
1. Otwórz Monitor sieci.
2. W menu Przechwytywanie kliknij Start i przycisk Przechwytuj na pasku
narzędzi.
W czasie, gdy ramki są zbierane z sieci, dane statystyczne dotyczące ramek są
wyświetlane w oknie Przechwytywania Monitora sieci pokazanym na rysunku 1.
Rysunek 1 Okno przechwytywania Monitora sieci
Monitor sieci wyświetla statystykę sesji z pierwszych 100 różnych sesji sieci, które
wykryje. Okno Przechwytywania Monitora sieci zawiera elementy wymienione w tabeli 1.
Tabela 1 Opis opcji wyświetlania Panelu przechwytywania
Element
Wykres
Dane Statystyczne Sesji
Dane Statystyczne Stacji
Ogólne Dane Statystyczne
Co wyświetla
Graficzna prezentacja operacji przeprowadzanych w danym
momencie w sieci.
Dane statystyczne dotyczące sesji mającej miejsce w danym
momencie w sieci.
Dane statystyczne dotyczące sesji, w których uczestniczy
komputer obsługujący Monitor sieci
Podsumowanie danych statystycznych dotyczących aktywności
sieci, od momentu rozpoczęcia procesu przechwytywania.
Aby wyczyścić zapisane statystyki oraz obejrzeć informacje dotyczące stu następnych
wykrytych aktywności sieci, należy kliknąć Wyczyść statystykę w menu Przechwytywanie.
5. Filtracja
Aby zebrać tylko ramki pochodzące z określonych komputerów, należy podać adresy
tych komputerów oraz skojarzyć adresy z ich nazwami w DNS lub w NetBIOS. Po
stworzeniu tych skojarzeń można zachować nazwy w pliku adresowej bazy danych (.adr),
który może zostać użyty do projektowania filtrów przechwytywania oraz do wyświetlania
filtrów. Filtr przechwytywania pozwala na wyszczególnienie kryteriów włączenia lub
wykluczenia z przechwytywania. Jeśli adres nie jest dostępny w adresowej bazie danych,
należy spróbować przechwycić cały ruch, a następnie, po przejrzeniu zebranych danych,
należy użyć polecenia Znajdź wszystkie nazwy z menu Wyświetlanie, aby zlokalizować
adres.
Przykładem takiego filtra jest para adresów używana do przechwytywania ramek z
określonych komputerów w sieci. Para adresów składa się z:
a) Adresów komputerów, pomiędzy którymi monitorowany będzie ruch. Należy zwrócić
uwagę na fakt, że adresy można pobierać do komputera lub do routera, jednakże nie
można wybierać kilku par adresów za pomocą operacji LUB. Trzeba wywołać kilka
wystąpień Monitora sieci, aby pobierać dane do komputera lub do routera w tym
samym czasie.
b) Strzałek uściślających kierunek ruchu, który będzie monitorowany.
c) Słowa kluczowego WŁĄCZ lub WYKLUCZ, wskazującego sposób, w jaki Monitor
sieci powinien zareagować na ramkę spełniającą określone parametry filtra.
Niezależnie od kolejności, w jakiej stwierdzenia pojawiają się w oknie dialogowym Filtra
Przechwytywania, najpierw oceniane są stwierdzenia WYKLUCZ. W związku z tym, jeśli
ramka spełnia kryteria wymienione w stwierdzeniu WYKLUCZ w filtrze zawierającym
równoczesne stwierdzenie WYKLUCZ i WŁĄCZ, ramka ta jest odrzucona. Monitor sieci nie
sprawdza tej ramki za pomocą stwierdzenia WŁĄCZ, aby przekonać się, czy spełnia ona
także te kryteria.
Rysunek 2 pokazuje okno dialogowe Filtr przechwytywania, dostępne w menu
Przechwytywanie lub poprzez naciśnięcie F8 w oknie Przechwytywanie.
Rysunek 2 Okno dialogowe filtru przechwytywania
Aby zaprojektować filtr przechwytywania, należy określić reguły decyzyjne w oknie
dialogowym Filtr Przechwytywania.
Poprzez uściślenie wzorca zgodności w filtrze przechwytywania istnieje możliwość:
a) Ograniczenia przechwytywania do ramek zawierających określony wzorzec ASCII lub
dane szesnastkowe.
b) Określenia, ile bajtów wewnątrz ramki może zawierać wzorzec. Liczba ta zwana jest
przesunięciem.
Jeśli dany filtr opiera się na zgodności z wzorcem, należy określić, w jakim miejscu ramki
występuje wzorzec (jaką liczbę bajtów od początku lub końca. Jeśli medium internetowe
posiada zmienny rozmiar w protokole kontroli dostępu do mediów, jak to ma miejsce w
przypadku sieci Ethernet lub systemu Token Ring, należy określić odliczanie od końca
nagłówka topologii.
Aby pobierać ramki wysłane przy użyciu konkretnego protokołu, należy określić
protokół w linii SAP/ETYPE= filtra przechwytywania. Po podwójnym kliknięciu linii
SAP/ETYPE= w oknie dialogowym pojawią się dostępne protokoły. Przykładowo, aby
pobierać wyłącznie ramki IP, należy wykluczyć wszystkie protokoły, następnie włączyć IP
ETYPE 0x800 oraz IP SAP 0x6. Domyślnie włączone są wszystkie protokoły, które
obsługuje Monitor sieci.
6. Wyświetlanie zebranych danych
W celu ułatwienia analizy danych Monitor sieci interpretuje surowe dane zebrane w
trakcie przechwytywania i wyświetla je w oknie Podglądu ramki.
Aby wyświetlić zebrane informacje w oknie Podglądu ramki, należy w menu
Przechwytywanie kliknąć Zatrzymaj i wyświetl w trakcie, gdy trwa przechwytywanie.
Przechwytywane dane można także wyświetlać poprzez otwarcie pliku z rozszerzeniem .cap.
Rysunek 3 pokazuje kluczowe elementy okna Podglądu ramki.
Rysunek 3 Okno podglądu ramki
Tabela 2 wymienia elementy Podglądu ramki.
Element
Wyświetla
Streszczenie
Szczegóły
Ogólne informacje na temat zebranych ramek w kolejności, w jakiej
zostały przechwycone.
Przetworzona zawartość danych ramki.
Hex
Reprezentacja szesnastkowa i ASCII zebranych danych.
Tabela 2 Panele Podglądu ramki
Do ustalenia, które ramki mają być wyświetlane, można używać filtra wyświetlania.
Podobnie jak w przypadku filtru przechwytywania, filtr wyświetlania działa jak zapytanie
bazy danych, pozwalając na wyselekcjonowanie konkretnego typu informacji. Ponieważ filtr
wyświetlania działa na już przechwyconych danych, nie ma on wpływu na zawartość bufora
przechwytywania Monitora sieci. Ramkę można filtrować za pomocą:
a) Źródła ramki lub adresu docelowego.
b) Protokołów użytych do przesłania ramki.
c) Właściwości i wartości, jakie zawiera ramka (właściwość jest to pole danych w
obrębie nagłówka protokołu; właściwości protokołu razem wyznaczają przeznaczenie
protokołu).
Rysunek 4 przedstawia okno dialogowe Filtra wyświetlania, dostępne z menu Wyświetlanie
lub poprzez wciśnięcie F8 w oknie Podglądu ramki.
Rysunek 9.5 Okno dialogowe Wyświetlanie filtra
Aby zaprojektować filtr wyświetlania, należy określić reguły decyzyjne w oknie
dialogowym Filtr wyświetlania. Informacje w oknie dialogowym Filtr wyświetlania pojawiają
się w formie drzewa decyzyjnego, które stanowi reprezentację graficzną logiki filtra. W
przypadku modyfikacji właściwości filtra wyświetlania, drzewo decyzyjne odzwierciedla
zadaną logikę. W tabeli 3 wyszczególnione są różne typy elementów filtra, których można
używać.
Tabela 3 Opcje elementów filtra
Element filtra
Opis
Protokół
Określa protokoły lub właściwości protokołów.
Filtr adresów (domyślny to
DOWOLNY<– –>DOWOLNY)
Określa adresy komputerów, z których będą
zbierane dane.
Właściwość
Określa wystąpienia właściwości, które spełniają
dane kryterium wyświetlania.
Aby zachować określone reguły decyzyjne oraz dodać je do drzewa decyzji, należy
kliknąć OK przed dodaniem kolejnej reguły decyzyjnej.
Mimo że filtry przechwytywania są ograniczone do czterech wyrażeń określających
adresy filtra, filtry wyświetlania nie mają takiego ograniczenia. Przy pracy z filtrami
wyświetlania można także używać wyrażeń logicznych TAK, LUB oraz NIE.
W trakcie wyświetlania zebranych danych wszystkie dostępne informacje dotyczące
zebranej ramki pojawiają się w oknie Podglądu ramki. Aby wyświetlić jedynie ramki wysłane
za pomocą określonego protokołu, należy zmienić wiersz Protokołu w oknie dialogowym
Wyświetl Filtr.
Właściwości protokołu to informacje określające cel protokołu. Ponieważ
przeznaczenie protokołu może być różne, właściwości różnią się pomiędzy protokołami.
Załóżmy, przykładowo, iż przy użyciu protokołu SMB została przechwycona duża liczba
ramek, ale wyświetlane mają być tylko ramki, w których protokół SMB został użyty do
stworzenia katalogu na danym komputerze. W tym przypadku można wychwycić ramki, w
których właściwość komendy SMB zawiera polecenie utwórz katalog.
Podczas wyświetlania zebranych danych wszystkie adresy, z których zbierane były
informacje, pojawiają się w oknie Podglądu ramki. Aby wyświetlić tylko ramki pochodzące z
określonego komputera, należy zmienić wiersz DOWOLNY<– –>DOWOLNY w oknie
dialogowym Filtr wyświetlania.
7. Zagadnienie wydajności Monitora sieci
Monitor sieci tworzy dla bufora przechwytywania plik odwzorowywany w pamięci. W
celu osiągnięcia najlepszych wyników należy upewnić się, że stworzony bufor
przechwytywania jest odpowiednio pojemny, aby pomieścić wymagany ruch.
Mimo, że nie można zmieniać rozmiaru ramek, można przechowywać tylko fragment ramki,
zmniejszając tym samym ilość wykorzystanej przestrzeni bufora przechwytywania.
Przykładowo, jeśli interesujące są wyłącznie dane zawarte w nagłówku ramki, należy ustawić
rozmiar ramki (w bajtach) na rozmiar nagłówka ramki. Monitor sieci odrzuca wtedy dane
ramki podczas przechowywania ramek w buforze przechwytywania.