Network Monitor

Prezeranie paketov pomocou Network Monitor-a

Microsoft Network Monitor je protokolový analyzátor. Umožní vám pochopiť, ako pracuje sieťová komunikácia. Primárne je určený na monitorovanie sieťovej prevádzky. Zjednodušuje nám prácu pri riešení zložitých sieťových problémov pomocou real-time analýzy sieťovej prevádzky a zachytávania paketov pre dekódovanie a analýzu.

Pre generovanie sieťovej prevádzky použijeme program ping.

Čo je ping.

TCP/IP implementácie zahrňujú základnú sieťovú utilitu nazývanú „ping“. Pomocou programu ping dokážete otestovať funkčnosť hardvéru a protokolu na vzdialenom počítači (prinajmenšom na sieťovej vrstve OSI modelu). Vždy keď použijete ping, generujete sieťovú premávku. Následne môžete použiť Network Monitor na analýzu tejto premávky.

Syntax použitia programu ping je nasledovná:


ping [cieľový_počítač]

kde cieľový_počítač je meno počítača alebo jeho IP adresa. V prezentácii je postup nasledovný:

  1. Na klientskom počítači je spustený program ping, server je cieľový počítač.
  2. Ping vygeneruje sériu správ Echo Request pomocou ICMP a tieto správy odošle na cieľový počítač server.
  3. Server odošle správy Echo Reply späť na klientsky počítač.
  4. Keď zdrojový počítač prijme správy Echo Reply vytvorí výstup (na obrazovku).

Keď zdrojový počítač prijme správy Echo Reply z cieľového počítača vyprodukuje podobný výstup:


Pinging server.skolenie.sk [192.168.10.100] with 32 bytes of data:

Reply from 192.168.10.100: bytes=32 time<1ms TTL=128 Reply from 192.168.10.100: bytes=32 time<1ms TTL=128 Reply from 192.168.10.100: bytes=32 time<1ms TTL=128 Reply from 192.168.10.100: bytes=32 time<1ms TTL=128 Ping statistics for 192.168.10.100: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms

Na tejto obrazovke sú zobrazené echo odpovede z cieľového počítača. Zobrazená informácia zahŕňa IP adresu cieľového počítača, počet dátových bytov vložených v požiadavke, uplynutý čas medzi odoslaním požiadavky a prijatím odpovede a hodnotu Time to Live (TTL) poľa z IP hlavičky. V tomto prípade je cieľový počítač na tej istej sieti LAN, takže časové hodnoty sú veľmi krátke - menej než milisekunda.

Keď odošlete ping požiadavku (alebo "pingujete") počítač na internete, časový interval je obvykle väčší ako od počítača na lokálnej sieti. Odpoveď z cieľového počítača indikuje, že sieťový hardvér a protokoly pracujú správne - prinajmenšom na sieťovej vrstve OSI modelu. Pokiaľ ale odozvu nedostanete, môžete jednoducho predpokladať, že cieľový počítač je offline alebo nie ste správne pripojený na sieť. Nemožnosť získať odpoveď na Echo Request obvykle indikuje sieťové problémy.

Poznámka: Z rôznych dôvodov - najmä bezpečnostných (napr. Ping of Death) nie je vôbec nezvyklé, že sieťoví administrátori zabraňujú odpovedať externým systémom na Echo Request. To ale neznamená, že počítač nie je funkčný...

Network Monitor

Network Monitor je utilita zahrnutá v systéme Windows Server 2003 a Microsoft Systems Management Server (SMS). Network Monitor sa používa na:

  • lokalizáciu problémov v komunikácii klient-server
  • identifikáciu počítačov ktoré generujú neprimerné množstvo sieťových požiadaviek
  • zachytávanie framov (paketov) priamo zo siete
  • zobrazenie a filtrovanie zachytených framov
  • identifikáciu neautorizovaných užívateľov na sieti

Network Monitor pracuje nasledovne:

  1. zachytí kópiu sieťovej prevádzky
  2. použije filtre na zobrazenie alebo farebné odlíšenie špecifických paketov
  3. dekóduje pakety v jazyku individuálnych protokolov
  4. kompiluje sieťové štatistiky

Existujú dve verzie programu Network Monitor: jedna podporuje promiskuitný mód, druhá nie:

  • V promiskuitnom móde sieťový adaptér číta a spracováva všetky pakety prechádzajúce fyzickým médiom ku ktorému je pripojený - nielen pakety ktoré sú adresované priamo jemu.
    POZOR! Inštalácia promiskuitnej verzie Network Monitora môže byť proti pravidlám bezpečnostnej politiky organizácie.
  • V nepremiskuitnom móde sieťový adaptér zachytáva iba pakety adresované na lokálny počítač (na ktorom je nainštalovaný Network Monitor) alebo pakety, ktoré sú z neho odosielané.

Aby mohol Network Monitor pracovať v promiskuitnom móde musíte mať aj sieťový adaptér, ktorý sa vie prepnúť do tohoto módu. Väčšina - ale nie všetky - to zvládajú.

SMS obsahuje verziu Network Monitora ktorá podporuje promiskuitný mód. Pre zvýšenie bezpečnosti verzie zahrnuté do Windows Server 2003, 2000, NT nepodporujú promiskuitný mód.

Inštalácia Network Monitora

  1. Otvorte Control Panel
  2. Spusťte "Add or Remove Programs"
  3. Kliknite na "Add/Remove Windows Components"
  4. Kliknite na "Management and Monitoring Tools"
  5. Kliknite na tlačítko Details
  6. Zaškrtnite "Network Monitor Tools"
  7. Kliknite na OK, Next, Finish

Ako zachytávať framy

  1. Otvorte Network Monitor
  2. Vyberte sieťové rozhranie, ktoré chcete použiť
  3. Kliknite na tlačítko "Start Capture"
  4. Pre ukončenie zachytávania kliknite na tlačítko "Stop and View Capture"

Network Monitor vie tiež pracovať z príkazového riadku. Pokiaľ ste už napríklad vytvorili filter nazvaný dns.cf, môžete použiť nasledovný príkaz na príkazovom riadku:


start netmon /capturefilter c:\temp\dns.cf

Praktické cvičenie

Ako používať filtre

Pokiaľ zachytávate pakety na sieti s veľkou prevádzkou môže sa vám stať, že za pár sekúnd zachytíte tisíce framov. Preto máte možnosť definovať zachytávacie filtre, pomocou ktorých uložíte iba špecifické framy pre analýzu. Pokiaľ napríklad potrebujete vedieť akú veľkú sieťovú prevádzku spôsobujú ARP transakcie za určitú dobu, vytvoríte filter ktorý zachytáva iba ARP prevádzku za určitú dobu a následne vypočítate počet megabitov za hodinu na základe zachytenej vzorky.

  1. Otvorte Network Monitor
  2. Kliknite na menu Capture, vyberte Filter (F8)
  3. Kliknite na "SAP/ETYPE=Any SAP or Any ETYPE"
  4. Kliknite na Edit, kliknite na "Disable All"
  5. V "Disabled Protocols" kliknite na ARP a potom na Enable
  6. Kliknite na OK, kliknite na OK
  7. Spusťte, zastavte a prezrite zachytené framy
  8. Nechajte okno so zachytenými framami otvorené

Prezeranie zachytenej sieťovej prevádzky

Keď zachytíte vzorku sieťovej prevádzky v Network Monitore sa zobrazí okno s chronologickým zoznamom framov vo vašej vzorke.

Popis zobrazených položiek:

  • Frame - poradové číslo framu vo vzorke
  • Time - indikuje čas (v sekundách), kedy bol frame zachytený. Merané od začiatku zachytávania.
  • Src MAC Addr - udáva hardvérovú adresu sieťového rozhrania v počítači, ktorý vyslal frame. Pre počítače pre ktoré analyzátor rozozná podľa mena (napr. NetBIOS názov) je v tomto poli zobrazené toto meno miesto IP adresy. Počítač na ktorom beží analyzátor je identifikovaný ako LOCAL.
  • Dst MAC Addr - udáva hardvérovú adresu sieťového rozhrania v počítači, ktorý je príjemcom farmu. Pokiaľ sú dostupné názvy, tak sú uvedené.
  • Protocol - zobrazí dominantný protokol vo frame. Každý frame obsahuje informáciu protokolmi bežiacimi na niekoľkých odlišných vrstvách OSI modelu.
  • Description - indikuje funkciu framu pomocou informácii špecifických pre daný protokol.
  • Src Other Addr - špecifikuje inú adresu použitú k identifikácii počítača, ktorý vyslal frame.
  • Dst Other Addr - špecifikuje inú adresu (napr. IP) použitú k identifikácii počítača, ktorý prijal frame.
  • Type Other Addr - špecifikuje typ adresy pre dva predošlé polia.

Praktické cvičenie:
Prezeranie ICMP a ARP paketov

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená.