Время на прочтение8 мин
Количество просмотров290K
В предыдущей статье был составлен список из 80 инструментов для мониторинга Linux системы. Был смысл также сделать подборку инструментов для системы Windows. Ниже будет приведен список, который служит всего лишь отправной точкой, здесь нет рейтинга.
1. Task Manager
Всем известный диспетчер задач Windows — утилита для вывода на экран списка запущенных процессов и потребляемых ими ресурсов. Но знаете ли Вы, как использовать его весь потенциал? Как правило, с его помощью контролируют состояние процессора и памяти, но можно же пойти гораздо дальше. Это приложение предварительно на всех операционных системах компании Microsoft.
Task Manager
2. Resource Monitor
Великолепный инструмент, позволяющий оценить использование процессора, оперативной памяти, сети и дисков в Windows. Он позволяет быстро получить всю необходимую информацию о состоянии критически важных серверов.
Resource Monitor
3. Performance Monitor
Основной инструмент для управления счетчиками производительности в Windows. Performance Monitor, в более ранних версиях Windows известен нам как Системный монитор. Утилита имеет несколько режимов отображения, выводит показания счетчиков производительности в режиме реального времени, сохраняет данные в лог-файлы для последующего изучения.
Performance Monitor
4.Reliability Monitor
Reliability Monitor — Монитор стабильности системы, позволяет отслеживать любые изменения в производительности компьютера, найти монитор стабильности можно в Windows 7, в Windows 8: Control Panel > System and Security > Action Center. С помощью Reliability Monitor можно вести учет изменений и сбоев на компьютере, данные будут выводиться в удобном графическом виде, что позволит Вам отследить, какое приложение и когда вызвало ошибку или зависло, отследить появление синего экрана смерти Windows, причину его появления (очередное обновлением Windows или установка программы).
Reliability Monitor
5. Microsoft SysInternals
SysInternals — это полный набор программ для администрирования и мониторинга компьютеров под управлением ОС Windows. Вы можете скачать их себе бесплатно на сайте Microsoft. Сервисные программы Sysinternals помогают управлять, находить и устранять неисправности, выполнять диагностику приложений и операционных систем Windows.
SysInternals
6. SCOM (part of Microsoft System Center)
System Center — представляет собой полный набор инструментов для управления IT-инфраструктурой, c помощью которых Вы сможете управлять, развертывать, мониторить, производить настройку программного обеспечения Microsoft (Windows, IIS, SQLServer, Exchange, и так далее). Увы, MSC не является бесплатным. SCOM используется для проактивного мониторинга ключевых объектов IT-инфраструктуры.
SCOM
Мониторинг Windows серверов с помощью семейства Nagios
7. Nagios
Nagios является самым популярным инструментом мониторинга инфраструктуры в течение нескольких лет (для Linux и Windows). Если Вы рассматриваете Nagios для Windows, то установите и настройте агент NSClient ++ на Windows сервер. NSClient ++ мониторит систему в реальном времени и предоставляет выводы с удаленного сервера мониторинга и не только.
Nagios
8. Cacti
Обычно используется вместе с Nagios, предоставляет пользователю удобный веб-интерфейс к утилите RRDTool, предназначенной для работы с круговыми базами данных (Round Robin Database), которые используются для хранения информации об изменении одной или нескольких величин за определенный промежуток времени. Статистика в сетевых устройств, представлена в виде дерева, структура которого задается самим пользователем, можно строить график использования канала, использования разделов HDD, отображать латентость ресурсов и т.д.
Cacti
9. Shinken
Гибкая, масштабируемая система мониторинга с открытым исходным кодом, основанная на ядре Nagios, написанном на Python. Она в 5 раз быстрее чем Nagios. Shinken совместима с Nagios, возможно использование ее плагинов и конфигураций без внесения коррективов или дополнительной настройки.
Shinken
10. Icinga
Еще одна популярная открытая система мониторинга, которая проверяет хосты и сервисы и сообщает администратору их состояние. Являясь ответвлением Nagios, Icinga совместима с ней и у них много общего.
11. OpsView
OpsView изначально был бесплатен. Сейчас, увы, пользователям данной системой мониторинга приходится раскошеливаться.
OpsView
12. Op5
Op5 еще одна система мониторинга с открытым исходным кодом. Построение графиков, хранение и сбор данных.
Op5
Альтернативы Nagios
13. Zabbix
Открытое программное обеспечение для мониторинга и отслеживания статусов разнообразных сервисов компьютерной сети, серверов и сетевого оборудования, используется для получения данных о нагрузке процессора, использования сети, дисковом пространстве и тому подобного.
Zabbix
14. Munin
Неплохая система мониторинга, собирает данные с нескольких серверов одновременно и отображает все в виде графиков, с помощью которых можно отслеживать все прошедшие события на сервере.
Munin
15. Zenoss
Написан на языке Python с использованием сервера приложений Zope, данные хранятся в MySQL. С помощью Zenoss можно
мониторить сетевые сервисы, системные ресурсы, производительность устройств, ядро Zenoss анализирует среду. Это дает возможность быстро разобраться с большим количеством специфических устройств.
Zenoss
16. Observium
Система мониторинга и наблюдения за сетевыми устройствами и серверами, правда список поддерживаемых устройств огромен и не ограничивается только сетевыми устройствами, устройство должно поддерживать работу SNMP.
Observium
17. Centreon
Комплексная система мониторинга, позволяет контролировать всю инфраструктуру и приложения, содержащие системную информацию. Бесплатная альтернатива Nagios.
Centreon
18. Ganglia
Ganglia — масштабируемая распределенная система мониторинга, используется в высокопроизводительных вычислительных системах, таких как кластеры и сетки. Отслеживает статистику и историю вычислений в реальном времени для каждого из наблюдаемых узлов.
Ganglia
19. Pandora FMS
Система мониторинга, неплохая продуктивность и масштабируемость, один сервер мониторинга может контролировать работу нескольких тысяч хостов.
Pandora FMS
20. NetXMS
Программное обеспечение с открытым кодом для мониторинга компьютерных систем и сетей.
NetXMS
21. OpenNMS
OpenNMS платформа мониторинга. В отличие от Nagios, поддерживает SNMP, WMI и JMX.
OpenNMS
22. HypericHQ
Компонент пакета VMware vRealize Operations, используется для мониторинга ОС, промежуточного ПО и приложений в физических, виртуальных и облачных средах. Отображает доступность, производительность, использование, события, записи журналов и изменений на каждом уровне стека виртуализации (от гипервизора vSphere до гостевых ОС).
HypericHQ
23. Bosun
Система мониторинга и оповещения (alert system) с открытым кодом от StackExchange. В Bosun продуманная схема данных, а также мощный язык их обработки.
Bosun
24. Sensu
Sensu система оповещения с открытым исходным кодом, похожа на Nagios. Имеется простенький dashboard, можно увидеть список клиентов, проверок и сработавших алертов. Фреймворк обеспечивает механизмы, которые нужны для сбора и накопления статистики работы серверов. На каждом сервере запускается агент (клиент) Sensu, использующий набор скриптов для проверки работоспособности сервисов, их состояния и сбора любой другой информации.
Sensu
25. CollectM
CollectM собирает статистику об использовании ресурсов системы каждые 10 секунд. Может собирать статистику для нескольких хостов и отсылать ее на сервер, информация выводится с помощью графиков.
CollectM
26. PerfTrap
PerfTrap собирает метрики с серверов, и с помощью Graphite производится визуализация собранных данных.
27. WMIagent
Если Вы фанат Python, WMIagent для Вас.
28. Performance Analysis of Logs (PAL) Tool
PAL — мощный инструмент, который мониторит производительность и анализирует ее.
29. PolyMon
PolyMon является инструментом мониторинга системы с открытым исходным кодом, на .NET Framework 2.0 и SQL Server 2005.
30. Cloud Ninja Metering Block
Cloud Ninja Metering Block производит анализ производительности и автоматическое масштабирование мультитенантных приложений в Windows Azure. Такой анализ включает в себя не только определение или проверку счетов за использование ресурсов от Windows Azure, но и оптимизацию ресурсов.
31. Enigma
Enigma — красивое приложение, которое поможет Вам следить за всеми важных показателями прямо с рабочего стола.
Платные решения
32. SSC Serv
SSC Serv платный инструмент мониторинга.
33. KS-HostMonitor
Инструменты для мониторинга сетевых ресурсов, позволяет проверять любые параметры серверов, гибкие профили действия позволяют действовать в зависимости от результатов тестов.
KS-HostMonitor
34. Total Network Monitor
Это программа для постоянного наблюдения за работой локальной сети отдельных компьютеров, сетевых и системных служб. Total Network Monitor формирует отчет и оповещает Вас о произошедших ошибках. Вы можете проверить любой аспект работы службы, сервера или файловой системы: FTP, POP/SMTP, HTTP, IMAP, Registry, Event Log, Service State и других.
Total Network Monitor
35. PRTG
PRTG — простая в использовании, условно-бесплатная программа для мониторинга сети, собирает различные статистические данные с компьютеров, программ и устройств, которые Вы указываете, поддерживает множество протоколов для сбора указанных сведений, таких как SNMP и WMI.
36. GroundWork
GroundWork, по сравнению с Nagios или Cacti, не требует значительных затрат времени для настройки. Для управления и вывода информации используется понятный веб-интерфейс, который построен на базе Monarch (MONitor ARCHitecture)и Fruity. Если возникает проблема, на указанный почтовый адрес приходит сообщение или SMS-сообщение. Предоставляемая система отчетов позволяет проанализировать все процессы во времени.
37. WhatsUpGold
Это мощное, простое в использовании программное средство для комплексного мониторинга приложений, сети и систем. Позволяет производить поиск и устранение проблем до того, как они повлияют на работу пользователей.
WhatsUpGold
38. Idera
Поддерживает несколько операционных систем и технологий виртуализации. Есть много бесплатных тулзов, с помощью которых можно мониторить систему.
Windows Health Check
Windows Capacity Check
Windows Process Heat Map
Idera
39. PowerAdmin
PowerAdmin является коммерческим решением для мониторинга.
PowerAdmin
40. ELM Enterprise Manager
ELM Enterprise Manager — полный мониторинг от «что случилось» до «что происходит» в режиме реального времени. Инструменты мониторинга в ELM включают — Event Collector, Performance Monitor, Service Monitor, Process Monitor, File Monitor, PING Monitor.
ELM Enterprise Manager
41. EventsEntry
EventsEntry
42. Veeam ONE
Эффективное решение для мониторинга, создания отчетов и планирования ресурсов в среде VMware, Hyper-V и инфраструктуре Veeam Backup & Replication, контролирует состояние IT-инфраструктуры и диагностирует проблемы до того, как они помешают работе пользователей.
Veeam ONE
43. CA Unified Infrastructure Management (ранее CA Nimsoft Monitor, Unicenter)
Мониторит производительность и доступность ресурсов Windows сервера.
CA
44. HP Operations Manager
Это программное обеспечение для мониторинга инфраструктуры, выполняет превентивный анализ первопричин, позволяет сократить время на восстановление и расходы на управление операциями. Решение идеально для автоматизированного мониторинга.
HP Operations Manager
45. Dell OpenManage
OpenManage (теперь Dell Enterprise Systems Management) «все-в-одном продукт» для мониторинга.
46. Halcyon Windows Server Manager
Halcyon Windows Server Manager
47. Topper Perfmon
Используется для мониторинга серверов, контролирует процессы, их производительность.
Topper Perfmon
48. BMC Patrol
Система мониторинга и управления управления IT — инфраструктурой.
Patrol
49. Max Management
Max Management
50. ScienceLogic
ScienceLogic еще одна система мониторинга.
51. VeraX
Менеджмент и мониторинг сетей, приложений и инфраструктуры.
VeraX
Ниже приведен список (наиболее популярных) инструментов для мониторинга сети
54. Ntop
Ntop
55. NeDi
Nedi является инструментом мониторинга сети с открытым исходным кодом.
NeDi
54. The Dude
Система мониторинга Dude, хоть и бесплатна, но по мнению специалистов, ни в чем не уступает коммерческим продуктам, мониторит отдельные серверы, сети и сетевые сервисы.
The Dude
55. BandwidthD
Программа с открытым исходным кодом.
BandwidthD
56. NagVis
Расширение для Nagios, позволяет создавать карты инфраструктуры и отображать их статус. NagVis поддерживает большое количество различных виджетов, наборов иконок.
NagVis
57. Proc Net Monitor
Бесплатное приложение для мониторинга, позволяет отследить все активные процессы и при необходимости быстро остановить их, чтобы снизить нагрузку на процессор.
Proc Net Monitor
58. PingPlotter
Используется для диагностики IP-сетей, позволяет определить, где происходят потери и задержки сетевых пакетов.
PingPlotter
Маленькие, но полезные инструменты
Список не был бы полным без упоминания нескольких вариантов аппаратного мониторинга.
59. IPMIutil
IPMIutil
60. Glint Computer Activity Monitor
Glint Computer Activity Monitor
61. RealTemp
Утилита для мониторинга температур процессоров Intel, она не требует инсталляции, отслеживает текущие, минимальные и максимальные значения температур для каждого ядра и старт троттлинга.
RealTemp
62. SpeedFan
Утилита, которая позволяет контролировать температуру и скорости вращения вентиляторов в системе, следит за показателями датчиков материнской платы, видеокарты и жестких дисков.
SpeedFan
63. OpenHardwareMonitor
OpenHardwareMonitor
Источник
icon-bg
icon-bg
icon-bg
Программы мониторинга сети являются незаменимыми помощниками для каждого системного администратора. Они позволяют быстро реагировать на аномальную активность в локальной сети, а также быть в курсе всех процессов в сети и автоматизировать часть повседневной деятельности администратора: в первую очередь, связанную с обеспечением надежной работы и безопасности. Давайте посмотрим, какие программы для мониторинга локальной сети наиболее актуальны в 2025 году.
Network Olympus
Network Olympus работает как служба и имеет веб-интерфейс, что обеспечивает большую гибкость и удобство. Основная особенность здесь — это конструктор сценариев, который помогает организовать схему мониторинга практически любой сложности для точного выявления проблем и сбоев, а также автоматизировать процесс их устранения.
Сценарий — это своего рода рабочий процесс на основе датчика, и из него можно создавать логические цепочки, которые, в зависимости от успеха проверки, будут генерировать различные уведомления и действия, направленные на устранение проблем. Каждый элемент цепочки можно редактировать в любое время, и изменения сразу же применятся ко всем устройствам, назначенным этому сценарию. Вся сетевая активность будет отслеживаться в журнале активности и специальных отчетах.
Если у вас небольшая сеть, то вам даже не нужно будет покупать лицензию: программа будет работать в бесплатном режиме.
| Плюсы | Минусы |
| Бесплатно до 100 устройств | Только веб-интерфейс |
| Легко настроить | Только установка на Windows |
| Постепенное обучение | Нет многопользовательского доступа |
| Создатель рабочих процессов | |
| Датчики для групп |
Lansweeper
Lansweeper полностью интегрируется с оборудованием на базе Windows и является по сути «сетевым сканером». Примечательно, что системному администратору не нужно находиться в офисе для выполнения всех процессов настройки сети, так как это можно сделать удаленно. Ему (или ей) даже не нужно устанавливать агенты на офисное оборудование: программа автоматически определяет все устройства, находящиеся в одной сети.
Полезной функцией этого приложения является возможность планирования задач в журнале событий: от регулярных обновлений программного обеспечения до сканирования активов на наличие вирусов, червей и другого вредоносного ПО. Однако бесплатная версия LNI предоставляет очень ограниченные возможности, а платные лицензии довольно дорогие.
Observium
Observium — это приложение, работающее с использованием протокола SNMP и позволяющее не только в реальном времени отслеживать состояние сети любого масштаба, но и анализировать ее производительность. Это решение интегрируется с оборудованием от Cisco, Windows, Linux, HP, Juniper, Dell, FreeBSD, Brocade, Netscaler, NetApp и других производителей. Благодаря хорошо продуманному пользовательскому интерфейсу, это ПО предоставляет системным администраторам множество вариантов настройки: от диапазонов IP для автоматического обнаружения до настроек протокола SNMP, необходимых для начала сбора информации о сети.
Вы также можете получить информацию о технических характеристиках всего оборудования, подключенного к сети. Все отчеты, созданные на основе анализа журнала событий, могут быть представлены в виде диаграмм и графиков, наглядно демонстрирующих уязвимые аспекты локальной сети. Вы можете использовать либо демо-версию (которая, по нашему опыту, имеет недостаточный набор функций), либо полную лицензию (за 200 фунтов стерлингов в год).
Nagios
Nagios — это продвинутое решение для мониторинга, управляемое через веб-интерфейс. Его нелегко освоить, но благодаря довольно большой интернет-сообществу и хорошо разработанной документации, это можно сделать за несколько недель.
С помощью Nagios системные администраторы могут удаленно регулировать нагрузку на пользовательские устройства или оборудование более высокого уровня (коммутаторы, маршрутизаторы, серверы), а также контролировать нагрузку на резерв памяти в базах данных, контролировать физические параметры компонентов оборудования (например, температуру материнской платы, ведь сгоревшая материнская плата — одна из самых распространенных поломок) и т.д.
Что касается обнаружения сетевых аномалий, Nagios автоматически отправляет оповещения на адрес, заданный системным администратором, будь то электронная почта или номер мобильного телефона. Бесплатная демо-версия доступна на 60 дней.
PRTG Network Monitor
Этот компонент программного обеспечения PRTG, совместимый с устройствами на базе Windows, предназначен для мониторинга сети. Он не бесплатен (если не считать 30-дневного пробного периода). Это программное обеспечение можно использовать не только для сканирования устройств, которые в данный момент подключены к локальной сети, но и для выявления атак.
Наиболее полезные сетевые службы PRTG включают инспекцию пакетов, анализ и хранение статистических данных в базе данных, просмотр карты сети в реальном времени (вы также можете получить историческую информацию о поведении сети), сбор технических параметров о устройствах, а также анализ степени нагрузки на сетевое оборудование. Кстати, его очень удобно использовать: в первую очередь, благодаря интуитивно понятному пользовательскому интерфейсу, который можно открыть с любого браузера. При необходимости системный администратор также может получить доступ к приложению удаленно через веб-сервер.
Kismet
Kismet — полезное приложение с открытым исходным кодом для системных администраторов, которое позволяет всесторонне анализировать трафик, выявлять его аномалии и предотвращать сбои. Оно может использоваться на системах, основанных на *NIX/Windows/Cygwin/macOS. Kismet часто используется специально для анализа WLAN, основанных на стандарте 802.11 b (включая сети с скрытым SSID).
Вы можете легко найти неправильно настроенные и даже незаконно работающие точки доступа, которые используются злоумышленниками для перехвата трафика, и другие скрытые устройства, которые могут быть потенциально «вредными» для вашей сети. Для этих целей было вложено много времени и усилий в возможность обнаружения различных типов атак как на сетевом уровне, так и на уровне канала связи. Как только обнаруживается одна или несколько атак, системный администратор получает сигнал тревоги и начинает принимать меры по устранению угрозы.
WireShark
WireShark, бесплатный анализатор трафика с открытым исходным кодом, предоставляет своим пользователям действительно продвинутые функции и по праву признан эталонным решением в области диагностики сетей. Он прекрасно интегрируется с системами на базе *NIX, Windows и macOS.
Вместо веб-интерфейсов и CLI, которые плохо понимаются новичками, потому что для этого нужно вводить запросы на специальном языке программирования, это решение использует графический интерфейс пользователя (однако, если вам нужно расширить стандартный набор возможностей WireShark, то вы можете легко настроить их в Lua).
Развернув и настроив его один раз на своем сервере, вы получите централизованный инструмент для мониторинга малейших изменений в производительности сети и сетевых протоколов. Таким образом, вы сможете выявлять и определять проблемы на ранних стадиях.
| Плюсы | Минусы |
| Бесплатно | Не интуитивно |
| Легко установить | Нет мобильной поддержки |
| Пакетный анализ | Не для крупных компаний |
| Гибкий интерфейс | |
| Отчеты |
NeDi
NeDi — это совершенно бесплатное программное обеспечение, которое может сканировать сеть по MAC-адресам (также среди допустимых критериев поиска есть IP-адреса и DNS) и создавать собственную базу данных. Этот программный продукт использует веб-интерфейс для взаимодействия с пользователем.
Таким образом, вы можете осуществлять онлайн-мониторинг всех физических устройств и их расположения в вашей локальной сети (на самом деле, вы сможете получить информацию о любом узле: его прошивке, конфигурации и т.д.).
Некоторые профессионалы используют NeDi для поиска устройств, которые используются незаконно (например, украдены). Это программное обеспечение использует протоколы CDP/LLDP для подключения к коммутаторам или маршрутизаторам. Поэтому этот инструмент очень полезен, хотя и не так прост в освоении, как вы могли бы себе представить.
Zabbix
Система мониторинга Zabbix — это универсальное решение с открытым исходным кодом для мониторинга сети, которое можно настроить для любой модели сети. В общем, оно предназначено для систем с многоуровневой архитектурой серверов (в частности, Zabbix интегрируется с серверами Linux/FreeBSD/Windows).
Это приложение позволяет одновременно управлять сотнями узлов, что делает его чрезвычайно эффективным инструментом для организации работы системных администраторов в крупных предприятиях. Для развертывания Zabbix в вашей локальной сети вам потребуется либо запустить программные агенты (демоны), либо использовать протокол SNMP (или другой протокол для безопасного удаленного доступа). Что касается его управления, вам придется ознакомиться с веб-интерфейсом на PHP.
Кроме того, это программное обеспечение предоставляет полный набор инструментов для мониторинга состояния сетевого оборудования. Стоит отметить, что для полного использования всех преимуществ этого решения вашему системному администратору потребуется иметь хотя бы базовые знания Perl или Python (или любых других языков, которые можно использовать в сочетании с Zabbix).
10-Страйк: Мониторинг Сети
10-Strike Network Monitor — это веб-ориентированное программное решение, полностью автоматизирующее все аспекты сетевой безопасности. Системные администраторы могут использовать его для предотвращения распространения вредоносного ПО в локальной сети, а также для определения причин возможных технических неисправностей, связанных с разрывом кабеля или отказом отдельных узлов сетевой инфраструктуры.
Это программное обеспечение также постоянно контролирует температуру, напряжение, пространство на диске и другие параметры через SNMP и WMI. Существуют некоторые недостатки, такие как довольно высокая нагрузка на ЦП (о чем разработчики сами честно говорят) и высокая цена.
Total Network Monitor 2
И еще одна наша программа также завершает наш список. TNM 2, чрезвычайно доступное и эффективное программное решение для мониторинга сети серверов, демонстрирующее идеальный баланс между удобством и обширной функциональностью. Одним из основных программируемых компонентов TNM 2 являются мониторы, которые выполняют проверки с необходимой частотой. Список доступных проверок впечатляет. Они позволяют отслеживать практически любой параметр, начиная от доступности серверов в сети и заканчивая проверкой состояния служб.
Следует отметить, что эти сенсорные объекты могут самостоятельно устранять начальные последствия проблем (то есть все происходит без прямого участия системного администратора). Например, могут быть перезапущены определенные службы или пользовательские устройства, активирован антивирус, добавлены новые события в журнал событий.
Что касается отчетов, то они содержат всю информацию, связанную с каждой проверкой, проведенной выбранным монитором. Одна копия этого приложения стоит всего 5000 руб..
Как выбрать программу для мониторинга сети?
Выбрать однозначного победителя и назвать лучшее программное обеспечение для мониторинга локальной сети сложно. Но мы считаем, что продукт Network Olympus имеет много преимуществ и очень низкий порог вхождения, так как не требует специальной подготовки для начала работы с ним. Кроме того, в нем вы не найдете типичных недостатков решений с открытым исходным кодом, таких как отсутствие обновлений и плохая совместимость (как с ОС, так и с оборудованием). Таким образом, благодаря этому решению, вы сможете мониторить все события, происходящие в вашей локальной сети, и своевременно реагировать на них.
Microsoft Network Monitor это классический инструмент сетевой диагностики для Windows, которой позволяет выполнить захват и анализ входящего и исходящего трафика на компьютере. Несмотря на то, что это продукт не развивается и не обновляется уже более 3 лет, его часто используют администраторы, когда нужно выполнить диагностику сетевых подключений. NetMon предоставляет на порядок меньше возможностей и не так хорош в расширенном разборе пакетов, по сравнению с популярным инструментом захвата и анализа WireShark. Однако графический интерфейс Network Monitor гораздо проще и интуитивное, да и сам продукт легче. Поэтому в некоторых сценариях его использование вполне оправдано и удобно.
В этой статье мы рассмотрим, как использовать Network Monitor для захвата и анализа сетевого трафика в реальном времени и для снятия дампа трафика для последующего анализа.
Идею этой статьи подкинул один из участников нашего чата, который получил от провайдера предупреждение о том, что его Windows VPS сервер используется для рассылки писем. Рассылка производилась в разное время, поэтому отследить процесс, выполняющий инициацию SMTP сессий, в реальном времени не удалось. Для поиска источника проблемы нужно настроить захват всего исходящего трафика по стандартным SMTP портам 25, 587 и 465, и определить исполняемый файл или скрипт, который выполняет рассылки.
Установить Microsoft Network Monitor 3.4 (последняя в прямо смысле версия) можно, скачав установщик (NM34_x64.exe) с сайта Microsoft (https://www.microsoft.com/en-us/download/details.aspx?id=4865), или установить пакет с помощью пакетного менеджера winget:
winget install Microsoft.NetMon
После установки, запустите Network Monitor с правами администратора.
В окне NetMon нажмите New Capture.
По умолчанию Network Monitor, собирает весь трафик, проходящий через интерфейсы компьютеры. За длительный промежуток времени размер такого сетевого дампа может быть весьма значительным. В нашем случае мы хотим собирать только исходящие пакеты по одному из известных SMTP портов.
Нажмите кнопку Capture Settings. В этом окне можно настроить фильтры, которые определяют какой трафик должен собирать NetMon. В разделе Load Filter -> Standard Filters есть несколько шаблонов фильтров для типовых задач. В нашем случае нам нужен фильтр по TCP портам. Выберите TCP-> TCP ports.
В окно редактора фильтра будет вставлен следующий код шаблона:
tcp.port == 80 OR Payloadheader.LowerProtocol.port == 80
Нужно отредактировать правило и добавить в него все три стандартные SMTP порты:
(tcp.port == 25 OR Payloadheader.LowerProtocol.port == 25 OR
tcp.port == 587 OR Payloadheader.LowerProtocol.port == 587 OR
tcp.port == 465 OR Payloadheader.LowerProtocol.port == 465)
Если на сервере несколько сетевых интерфейсов или дополнительных IP адресов на адаптере, можно добавить фильтр на исходящий IP:
AND
(IPv4.SourceAddress == 192.168.158.144)
Фильтры в Network Monitor можно комбинировать с помощью скобок и логических выражений
OR
/
AND
/
NOT
, или использовать вместо них
||
,
&&
или
!
.
Нажмите кнопку Apply, чтобы сохранить фильтр.
Затем перейдите в раздел Tools -> Options -> Parser profiles. Выберите Windows в профиле парсера по умолчанию (Set as active).
Теперь можно запустить захват трафика. Нажмите кнопку Start в панели инструментов.
Теперь вам нужно воспроизвести проблему, или если она появляется редко в неизвестные моменты времени, просто оставьте NetMon запущенным в течении дня/недели.
Имейте в виду, что в зависимости от настроек фильтра захвата, дамп сетевого трафика за большой промежуток времени потребует значительного количества RAM и свободного места на диске.
В нашем случае через некоторое время в журнале пакетов NetMon появились события, соответствующий примененным фильтрам. Если открыть содержимое пакетов, то можно обнаружить что выполнялась попытка SMTP подключения. Внутри пакетом можно увидеть команды SMTP протокола, попытки аутентификации, адрес целевой сервер и email адрес, на который выполняется отправка (пример SMTP команд в telnet для отправки почты с аутентификацией).
В поле Process Name указано имя процесса, который инициировал данные сетевой трафик. В этом случае мы определили, что SMTP рассылка выполняется консольной утилитой
blat.exe
.
Также в дамп попала моя сессия
powershell.exe
, из которой я проверял доступность порта 25 на внешнем сервере:
Test-NetConnection smtp.mail.ru -port 25
Чтобы остановить захват сетевого трафика, нужно нажать кнопку Stop. Полученный дамп трафика можно сохранить *.CAP файл для последующего анализа в офлайн режиме.
Можно добавить дополнительные фильтры по IP или MAC адресу назначения/источника, различным протоколам, портам и специальные фильтры для анализа трафика некоторых протоколов (SMB, HTTP, DNS). Фильтры можно применять как целиком к захваченному трафику, так и для фильтрации отображаемых данных в рамках текущей сессии (окно Display Filter).
Например, чтобы отфильтровать пакеты, можно щелкнуть по любому из значений в списке пакетов и выбрать Add [something] to Display Filter.
На скриншоте я добавил правило фильтрации по IP адресу назначения. В окно фильтра был добавлен такой код:
Destination == "ip_adress"
Ниже представлены несколько примером часто используемых фильтров Network Monitor.
Фильтр по IP адресу назначения:
IPv4.SourceAddress == 192.168.0.1
Фильтр по IP источника или назначения:
IPv4.Address == 192.168.0.1
Фильтр по номеру TCP порта:
tcp.port == 443
OR
Payloadheader.LowerProtocol.port == 443
Можно указывать диапазоны портов:
(udp.Port>=10000 && udp.port<=19999)
В этой статье мы рассмотрели особенности захвата и последующего анализа сетевого трафика в Windows с помощью Microsoft Network Monitor. Также в Windows для снятия дампа трафика без установки Network Monitor на компьютере можно использовать встроенную консольную утилиту PktMon. Дамп, снятый такой утилитой, можно проанализировать на любом компьютере с установленным NetMon или Wireshark.
Программное обеспечение для мониторинга сети – удобное приложение для администратора. С помощью утилит можно отслеживать исходящий трафик, контролировать объем и содержание переданных сведений, блокировать доступ к определенным процессам.
Топ-10 программ для контроля за сетевыми подключениями
Данные о компании могут передаваться по локальной сети. В связи с этим актуальность приобретают программы, предотвращающие утечку информации. Специальное программное обеспечение обеспечивает полную информационную защиту компании от распространения конфиденциальной информации.
ПО для мониторинга позволяет выявить сведения на подключенных к сети компьютерах и сервере.
После осуществления лицом попытки передать сведения с локальной сети за пределы коммерческой фирмы устранить следы правонарушения невозможно. Утилиты обладают следующими функциями:
- контроль сетевых портов;
- просмотр историй при использовании опции поиска.
Действия пользователя, работающего за компьютером, регистрирует специальное программное обеспечение — кейлоггер. Программа фиксирует нажатие клавиш сотрудником, а все данные вносятся в отчет. Перечень посещенных сайтов нельзя стереть или удалить из памяти. Утилита осуществляет мониторинг сетевых папок в режиме онлайн.
Файрволы защищают персональные компьютеры от удаленного подключения. Многие программы предполагают индивидуальную настройку с целью защиты коммерческой информации, архивов и платежных реквизитов.
StaffCop
Одной из лучших программ для контроля сетевых подключений является данная утилита. Для сетей, которые выходят за пределы компании, важно осуществлять контроль маршрутизации. Это необходимо для того, чтобы предупредить утечку информации из компании. С помощью удобных инструментов возможно осуществление полноценного контроля.
Преимущества программы:
- контроль за передачей данных (односторонней и двухсторонней);
- отслеживание электронной почты каждого работника организации;
- доступ к списку сайтов, посещение которых запрещено в рабочее время;
- доступ в интернет в определенное время дня и суток.
Kickidler
Программное обеспечение, в котором функция кейлоггера связана с записью видео. Историю посещений пользователя и набор определенных клавиш администратор может просмотреть в отчете. Собранную информацию независимо от формы (текст, видео о все нарушения трудового распорядка) можно посмотреть на временной шкале. Такой способ позволяет выяснить чем работник занимался в определенный момент времени.
Основной функцией утилиты является предотвращение утечки информации и контроль использования конфиденциальных данных. Программное обеспечение работает на персональных компьютерах с различными ОС: Windows, Linux и MAC OS. Для компаний, в которых трудятся до 6 человек работает бесплатная версия.
Reptilicus
Многофункциональное приложений с функцией кейлоггера. Техподдержка и официальный сайт полностью русифицирован. Помимо платной версии существует демонстрационная, которая ничем не отличается от официальной. Во время тестового периода пользователь может ознакомиться с работой утилиты и проследить каким образом приложение осуществляет сбор информации.
Widestep Handy Keylogger
Утилита имеет две версии: платную и бесплатную. Бесплатный кейлоггер перехватывает нажатие клавиш пользователем и полученную информацию отправляет на электронную почту. Администратор может настраивать периодичность направления информации. Чтобы программа была скрыта от посторонних глаз, требуется приобретение платной подписки. Кроме того, ее функционал будет гораздо больше демонстрационной версии.
Пользователю электронного устройства будет затруднительно найти утилиту, она устанавливается в операционной системе и действует незаметно.
Golden Keylogger
Основным преимуществом программного обеспечения является возможность его безвозмездного использования. Установить утилиту можно на операционных системах Windows и Mac. Программа хорошо справляется и фиксирует все действия пользователя. Перехват осуществляется в отношении: нажатых человеком клавиш, введения паролей, символов и других комбинаций. После установки программного обеспечения автоматически будет создана папка, в которой будут расположены файлы.
Преимущества использования программы:
- легкая установка;
- маленькие габариты;
- стабильная работа оборудования.
Mipko Employe Monitor
Программное обеспечение, подходящее для контроля за состоянием корпоративных сетей. После установки и запуска администратор может установить пользовательский интерфейс. ПО имеет большой функционал, а именно отслеживает нажатие клавиш, делает снимки монитора, фиксирует активность в социальных сетях, делает снимки с веб-камеры, записывает разговоры с микрофона, проводит другие операции с файлами.
При осуществлении мониторинга за пользователями по локальной сети работодателей интересует активность сотрудников компании в рабочее время.
Comodo Firewall
Comodo Firewall – многофункциональный файрвол, обеспечивающий безопасность персонального компьютера от виртуальных атак. Утилита оснащена защитой от внешнего вторжения. В результате чего осуществляется предупреждение несанкционированного вторжения.
Network Olympus
Данная программа ценится среди администраторов за счет того, что имеет интуитивно понятный интерфейс. Главным ее преимуществом является наличие конструктора сценариев. С его помощью организовывают схемы осуществления контроля за состоянием сетевых подключений любой сложности. Для выявления неполадок разработчиками создан специальный алгоритм для их устранения.
Утилита способна выстраивать логические цепочки, благодаря которым администратор получает уведомления и оповещения о состоянии локальных сетей. Отслеживание сетевой активности возможно через журнал активности с помощью специальных отчетов.
Observium
Данное приложение позволяет исследовать состояние сети в любое время. Утилита имеет удобный графический интерфейс, а администратор может настроить оборудование нужным образом. С помощью программного обеспечения пользователь имеет возможность изучить технические характеристики работы локальной сети. Все отчеты о работе сети собираются в журнале событий. По выбору администратора это может быть изображено в виде графиков и диаграмм. Как и большинство других приложений, Observium может работать в платной и демонстрационной версии.
NeDi
Бесплатное приложение, которое сканирует сеть по различным параметрам. В результате работы программного обеспечения возможно отслеживание всех физических устройств и их местоположение в локальной сети.
Zabbix
Данная система мониторинга является универсальным решением и позволяет управлять различными узлами. Утилита является эффективным инструментом для борьбы с утечкой конфиденциальной информации, касающейся деятельности коммерческих компаний. Программа является довольно сложной, поэтому для выполнения поставленных задач требуется привлечение опытного администратора.
Чтобы исключить случаи утечки информации о деятельности компании, руководители принимают решение в пользу простого ПО, доступного человеку без специальных познаний в сфере IT технологий. Таким образом возможен регулярный контроль за работой персонала.
Ещё одна полезная функция Windows 10, про которую не все знают, — возможность контроля за расходуемым трафиком без использования сторонних инструментов. Для включения счётчика трафика нужно в настройках сетевых подключений щёлкнуть правой кнопкой мыши по вкладке «Использование данных» и выбрать «Закрепить на начальном экране».
Windows 10 позволяет контролировать использование данных
В результате в меню «Пуск» появится динамическая плитка с информацией о сетевых аппетитах операционной системы и установленного на компьютере ПО, что, в свою очередь, может помочь избежать финансовых затрат при использовании интернет-тарифов с лимитированным трафиком.
Клик мышью по плитке с расходом трафика позволяет быстро переключиться в сетевые настройки ОС
Прочитано 25584 раз
Последнее изменение Понедельник, 01 Июль 2019 00:50