Настройка mmc консоли ос ms windows для анализа трафика сетевого интерфейса

лабы по ВССИТ / Tema6

ФЕДЕРАЛЬНОЕ АГЕНТСТВО СВЯЗИ

Ордена Трудового Красного Знамени федеральное государственное бюджетное образовательное учреждение высшего образования

«Московский технический университет связи и информатики»

Лабораторная работа №6

«Изучение настроек Ethernet и способов анализа трафика на сетевых интерфейсах в ОС Windows.»

Выполнил студент 3 курса

Тема: Изучение настроек Ethernet и способов анализа трафика на сетевых интерфейсах в ОС Windows.

Цели и задачи работы: Ознакомиться с настройками сетевой платы и встроенными инструментальными средствами ОС MS Windows анализа трафика на сетевых интерфейсах.

Скорость и дуплекс

От 10Мбит/с дуплекс…до 100Мбит/с полудуплекс

Wake Up Capabilities Magic packet

Wake Up Frame, Both,

3.2. Изучить возможность консоли управления ММС по встроенной справке (Консоль — действия – справка). Кратко отразить полученные сведения в отчете.

В справке присутствуют инструкции по подключению к интернету, а так же его диагностике, проверки работоспособности локальных и виртуальных сетей.

3.3. Настройка консоли ОС MS Windows для анализа трафика сетевого интерфейса.

Панель управления – Администрирование – Производительность — контекстное меню – добавить счетчики — объект — сетевой интерфейс — добавить счетчики: «отправлено байт/сек», «получено байт/сек». В свойствах графика указать диапазон вертикальной шкалы =5. Вывести заголовок над динамическим графиком- «Сетевой трафик».

Картинка с сайта: elcebador.ru

3.4. В окне командного процессора выполнить команду:

ping -l 10000 127.0.0.1 -t (Выход – ctrl+c)

Картинка с сайта: elcebador.ru

1 минуты снять статистику, проанализировать, сделать вывод. В отчет вставить формат отклика.

3.5. В окне командного процессора выполнить команду:

ping -l 65500 127.0.0.1 -t

1 минуты снять статистику, проанализировать сделать вывод. В отчет вставить формат отклика.

Картинка с сайта: elcebador.ru

Данные процедуры позволяют рассмотреть скорее качественное состояние статистики интерфейса, чем количественное.

Это связано с тем, что ping отправляет 1 пакет/сек, а статистика собирается за секунду. Т.о статистика отображает среднюю за секунду величину, а не текущую.

3.6. Определение размера ICMP-пакетов.

Подобрать значение длины пакетов, чтобы не было сообщений ошибках пакетов. Для этого в текстовом редакторе создать командный файл proba.bat следующего содержания:

for /L %%i in (1000#,100#,100000#) do (

Просмотреть MAC-адреса Ethernet

Картинка с сайта: elcebador.ru

C помощью утилит собрать статистику Ethernet интерфейса и протоколов стека IP

Netstat

Картинка с сайта: elcebador.ru

Ознакомление с командами

netstat –s –p ICMP l

Картинка с сайта: elcebador.ru

netstat –s –p UDP l

Картинка с сайта: elcebador.ru

netstat –s –p TCP l

Картинка с сайта: elcebador.ru

В отчете описать имеющуюся статистику.

Характеристики сетевой платы.

Картинка с сайта: elcebador.ru

Рассказать о способах диагностики сетевых подключений в ОС MS Windows.

Ipconfig, PING, Tracert, pathping, netstat, net, nslookup, Средство диагностики сетей Windows. Чтобы запустить данное средство, нужно в Центре управления сетями и общим доступом выбрать Изменение параметров адаптера.

Тут вы можете оставить комментарий к выбранному абзацу или сообщить об ошибке.

Изучение настроек Ethernet и способов анализа трафика на сетевых интерфейсах в ОС Windows.

1. Цели и задачи работы

Ознакомиться с настройками сетевой платы и встроенными инструментальными средствами ОС MS Windows анализа трафика на сетевых интерфейсах.

1. Теоретические сведения

Правильная настройка сетевой платы позволяет не только обеспечить соединение с сеть, но улучшить производительность сетевого подключения и получить необходимое качество сервиса предоставляемой локальной сетью.

Для просмотра состояния взаимодействия компьютера с локальной сетью различные разработчики операционных систем представляют средства диагностик.

Средства диагностики могут быть графическими или использовать командную строку (так называемый CLI — Commandlininterface). Диагностика с помощью CLI позволяет создавать скрипты или программы для включения их в приложения, занимающиеся мониторингом или анализом сети в целом.

В данной работе необходимы следующие понятия:

· Скрипт (script) — небольшая программа для выполнения средствами операционной системы и для расширения ее возможностей

·Loopback(обратная, возвратная петля) Тип диагностического интерфейса, при котором сигнал возвращается передающему устройству, пройдя по коммуникационному каналу в обоих направлениях.

· GUI— (GraphicalUserInterface) графический пользовательский интерфейс

·CLI— (CommandLineInterface) Интерфейс командной строки, в котором инструкции компьютеру даются только путём ввода с клавиатуры текстовых строк (команд). Также известен под названием консоль.

· MMC (MicrosoftManagementConsole) -средство для создания, сохранения и открытия средств администрирования (называемых консолями MMC), которые управляют оборудованием, программными и сетевыми компонентами операционной системы Windows.

1. Порядок выполнения работы

Описание свойств сетевой платы.

Выполнить в следующей последовательности доступ к настройкам сетевой платы:

Пуск — панель управления — подключение к локальной сети (сетевые подключения) – вызов контекстного меню- свойства- настроить.

Сохранить в отчет все свойства сетевого интерфейса виде таблицы 1:

3.2. Изучить возможность консоли управления ММС по встроенной справке (Консоль — действия – справка). Кратко отразить полученные сведения в отчете.

3.3.Настройка консоли ОС MS Windows для анализа трафика сетевого интерфейса.

Панель управления – Администрирование – Производительность — контекстное меню – добавить счетчики — объект — сетевой интерфейс — добавить счетчики: «отправлено байт/сек», «получено байт/сек». В свойствах графика указать диапазон вертикальной шкалы =5. Вывести заголовок над динамическим графиком- «Сетевой трафик».

3.4. В окне командного процессора выполнить команду:

ping -l 10000 127.0.0.1 -t (Выход – ctrl+c)

1 минуты снять статистику, проанализировать, сделать вывод. В отчет вставить формат отклика.

3.5. В окне командного процессора выполнить команду:

ping -l 65500 127.0.0.1 -t

1 минуты снять статистику, проанализировать сделать вывод. В отчет вставить формат отклика.

Данные процедуры позволяют рассмотреть скорее качественное состояние статистики интерфейса, чем количественное.

Это связано с тем, что ping отправляет 1 пакет/сек, а статистика собирается за секунду. Т.о статистика отображает среднюю за секунду величину, а не текущую.

3.6. Определение размера ICMP-пакетов.

Подобрать значение длины пакетов, чтобы не было сообщений ошибках пакетов. Для этого в текстовом редакторе создать командный файл proba.bat следующего содержания:

for /L %%i in (1000#,100#,100000#) do (

for /F «usebackqdelims=

Дата добавления: 2018-06-01 ; просмотров: 807 ; Мы поможем в написании вашей работы!

Вы знаете что такое консоль управления MMC и как ее открыть

Не так давно я рассказывал о том, как можно совершенно бесплатно «замутить» сервер терминалов на Windows 10. Так вот надо понимать, что раз у нас образовался сервер, пусть и не совсем профессиональный, значит, его нужно администрировать.

Ведь не могут же обычные пользователи обладать правами администратора. Только представьте, если каждый начнет что-то настраивать под свои нужды. Это будет беда!

В этом случае нам на помощь придет консоль управления MMC (Microsoft Management Console). Это компонент операционной системы Windows, который представляет собой набор инструментов администрирования.

Думаю, что некоторые из таких инструментов (они же оснастки) вы видели в различных служебных вкладках системы, например, такие как «Управление компьютером», «Управление дисками» и так далее. Но это далеко не все.

Консоль позволяет тонко настраивать сетевые параметры, управлять оборудованием, изменять параметры реестра, программного обеспечения, конфигурировать систему печати и многое другое.

Для наглядности давайте создадим оснастку, которая позволит ограничить возможности обычных пользователей, а права администратора при этом не будут ущемлены.

Как открыть консоль управления MMC

Показываю на примере Windows 10. В строке поиска просто ввожу «MMC» и система сама предложит нужный вариант. Жмем по нему правой кнопкой мыши, чтобы запустить от имени администратора.

Лабораторная работа. Изучение настроек Ethernet и анализа трафика

Работа № 5. Изучение настроек Ethernet и анализа трафика.

Время выполнения: 4 часа.

Ознакомиться с настройками сетевой платы и встроенными инструментальными средствами ОС MS Windows анализа трафика на сетевых интерфейсах.

Задача лабораторной работы

Правильная настройка сетевой платы позволяет не только обеспечить соединение с сеть, но улучшить производительность сетевого подключения и получить необходимое качество сервиса предоставляемой локальной сетью.

Для просмотра состояния взаимодействия компьютера с локальной сетью различные разработчики операционных систем представляют средства диагностик.

Средства диагностики могут быть графическими или использовать командную строку (так называемый CLI — Command line

interface). Диагностика с помощью CLI позволяет создавать скрипты или программы для включения их в приложения

занимающиеся мониторингом или анализом сети в целом.

В данной работе вводятся следующие понятия:

Скрипт (script) — небольшая программа для выполнения средствами операционной системы и для расширения ее возможностей

Loopback (обратная, возвратная петля) Тип диагностического интерфейса, при котором сигнал возвращается передающему устройству, пройдя по коммуникационному каналу в обоих направлениях.

GUI – (Graphical User Interface) Графический пользовательский интерфейс

CLI — (Command Line Interface) Интерфейс командной строки, в котором инструкции компьютеру даются только путём ввода с клавиатуры текстовых строк (команд). Также известен под названием консоль.

MMC (Microsoft Management Console) -средство для создания, сохранения и открытия средств администрирования (называемых консолями MMC), которые управляют оборудованием, программными и сетевыми компонентами операционной системы Windows.

Провести анализ трафика сетевых интерфейсов. Составить отчет.

Порядок выполнения работы

1. Описание свойства сетевой платы.

Картинка с сайта: elcebador.ru

Картинка с сайта: elcebador.ru

Описание выполняемых действий

Выполнить в следующей последовательности доступ к настройкам сетевой платы:

Сохранить в отчет все свойства сетевой интерфейса виде таблицы:

Команды (действия выполняемые в работе)

Картинка с сайта: elcebador.ru

Картинка с сайта: elcebador.ru

Картинка с сайта: elcebador.ru

1. Перейти в «Сетевые подключения»

2. Открыть свойства сетевого подключения

3. Нажать кнопку настроить

4. Перейти на вкладку дополнительно

Wake Up Capabilities

Wake Up Frame, Both,

Картинка с сайта: elcebador.ru

2. Настройка MMC консоли ОС MS Windows для анализа трафика сетевого интерфейса.

Картинка с сайта: elcebador.ru

Картинка с сайта: elcebador.ru

Картинка с сайта: elcebador.ru

Описание выполняемых действий

Запустить MMC-консоль «Производительность»:

Установить новый набор счетчиков. («Cntr+E»). Далее

В системах Windows для захвата и последующего анализа сетевого трафика многие из нас пользуются такими известными инструментами как Network Monitor или Wireshark. Захват трафика через эти инструменты в наблюдаемой системе предполагает установку дополнительных компонент, выстраивающихся в функции сетевого обмена. Начиная с Windows 7 / Windows Server 2008 R2 у нас появилась возможность выполнять захват трафика встроенными в систему средствами, то есть мы можем выполнить захват трафика на интересующей нас системе не выполняя непосредственную установку дополнительных программных средств, а полученный в результате захвата файл сетевого дампа в дальнейшем анализировать на той системе где установлены соответствующие средства анализа, например на рабочей станции администратора с установленным Network Monitor.

Для того, чтобы активировать захват сетевого трафика проходящего через все сетевые интерфейсы на интересующей нас системе выполним команду с правами Администратора:

Netsh trace start scenario=NetConnection capture=yes report=yes persistent=no maxsize=1024 correlation=yes traceFile=C:\Logs\NetTrace.etl

При этом каталог, который мы указываем в качестве сохранения файла захвата должен существовать в файловой системе, иначе мы получим ошибку ‘The system cannot find the path specified‘.

Картинка с сайта: blog.it-kb.ru

Если обследуемая система имеет несколько сетевых интерфейсов и нас интересует трафик только на определённом интерфейсе, то синтаксис команды будет выглядеть примерно так:

Netsh trace start scenario=NetConnection capture=yes ipv4.address=192.168.0.100 report=yes persistent=no maxsize=1024 correlation=yes traceFile=C:\Logs\NetTrace.etl

Захват трафика запущен и после того, как мы выполнили необходимые манипуляции, например воспроизвели изучаемую проблему из-за которой мы и решили анализировать трафик, останавливаем захват трафика командой:

Netsh trace stop

В результате будет сгенерирован ETL файл а также CAB архив содержащий дополнительные данные, которые могут потребоваться для анализа сетевых проблем.

Картинка с сайта: blog.it-kb.ru

Полученный ETL файл копируем на рабочую станцию Администратора, запускаем Network Monitor и открываем файл из меню File > Open > Capture

Картинка с сайта: blog.it-kb.ru

Загруженные данные будут разложены на фреймы с малопонятной структурой, да ещё и с предупреждением в описании практически каждого фрейма типа ‘Windows stub parser: Requires full Common parsers. See the «How Do I Change Parser Set Options(Version 3.3 or before) or Configure Parser Profile (Version 3.4)» help topic for tips on loading these parser sets‘. Для того чтобы получить более или менее читаемый вид, нужно применить так называемый Parser Profile. Через меню Tools > Options откроем свойства Parser Profiles и назначим в качестве активного профиля – Windows 

Картинка с сайта: blog.it-kb.ru

После этого данные трассировки будут перечитаны и представлены в более удобоваримой форме и теперь можно «забуриваться» в анализ…

Дополнительная информация:

The troubleshooters and problem solvers — Network tracing (packet sniffing) built-in to Windows Server 2008 R2 and Windows Server 2012
Blog IT, IS, etc… — Network trace without NetMon, WireShark, etc…
Blog IT, IS, etc… — Network trace without NetMon, wireShark, etc… Part 2

Microsoft Network Monitor это классический инструмент сетевой диагностики для Windows, которой позволяет выполнить захват и анализ входящего и исходящего трафика на компьютере. Несмотря на то, что это продукт не развивается и не обновляется уже более 3 лет, его часто используют администраторы, когда нужно выполнить диагностику сетевых подключений. NetMon предоставляет на порядок меньше возможностей и не так хорош в расширенном разборе пакетов, по сравнению с популярным инструментом захвата и анализа WireShark. Однако графический интерфейс Network Monitor гораздо проще и интуитивное, да и сам продукт легче. Поэтому в некоторых сценариях его использование вполне оправдано и удобно.

В этой статье мы рассмотрим, как использовать Network Monitor для захвата и анализа сетевого трафика в реальном времени и для снятия дампа трафика для последующего анализа.

Идею этой статьи подкинул один из участников нашего чата, который получил от провайдера предупреждение о том, что его Windows VPS сервер используется для рассылки писем. Рассылка производилась в разное время, поэтому отследить процесс, выполняющий инициацию SMTP сессий, в реальном времени не удалось. Для поиска источника проблемы нужно настроить захват всего исходящего трафика по стандартным SMTP портам 25, 587 и 465, и определить исполняемый файл или скрипт, который выполняет рассылки.

Установить Microsoft Network Monitor 3.4 (последняя в прямо смысле версия) можно, скачав установщик (NM34_x64.exe) с сайта Microsoft (https://www.microsoft.com/en-us/download/details.aspx?id=4865), или установить пакет с помощью пакетного менеджера winget:

winget install Microsoft.NetMon

Картинка с сайта: winitpro.ru

После установки, запустите Network Monitor с правами администратора.

В окне NetMon нажмите New Capture.

По умолчанию Network Monitor, собирает весь трафик, проходящий через интерфейсы компьютеры. За длительный промежуток времени размер такого сетевого дампа может быть весьма значительным. В нашем случае мы хотим собирать только исходящие пакеты по одному из известных SMTP портов.

Нажмите кнопку Capture Settings. В этом окне можно настроить фильтры, которые определяют какой трафик должен собирать NetMon. В разделе Load Filter -> Standard Filters есть несколько шаблонов фильтров для типовых задач. В нашем случае нам нужен фильтр по TCP портам. Выберите TCP-> TCP ports.

Картинка с сайта: winitpro.ru

В окно редактора фильтра будет вставлен следующий код шаблона:

tcp.port == 80 OR Payloadheader.LowerProtocol.port == 80

Нужно отредактировать правило и добавить в него все три стандартные SMTP порты:

(tcp.port == 25 OR Payloadheader.LowerProtocol.port == 25 OR


tcp.port == 587 OR Payloadheader.LowerProtocol.port == 587 OR
tcp.port == 465 OR Payloadheader.LowerProtocol.port == 465)

Если на сервере несколько сетевых интерфейсов или дополнительных IP адресов на адаптере, можно добавить фильтр на исходящий IP:

AND
(IPv4.SourceAddress == 192.168.158.144)

Картинка с сайта: winitpro.ru

Фильтры в Network Monitor можно комбинировать с помощью скобок и логических выражений
OR
/
AND
/
NOT
, или использовать вместо них
||
,
&&
или
!
.

Нажмите кнопку Apply, чтобы сохранить фильтр.

Затем перейдите в раздел Tools -> Options -> Parser profiles. Выберите Windows в профиле парсера по умолчанию (Set as active).

Картинка с сайта: winitpro.ru

Теперь можно запустить захват трафика. Нажмите кнопку Start в панели инструментов.

Картинка с сайта: winitpro.ru

Теперь вам нужно воспроизвести проблему, или если она появляется редко в неизвестные моменты времени, просто оставьте NetMon запущенным в течении дня/недели.

Имейте в виду, что в зависимости от настроек фильтра захвата, дамп сетевого трафика за большой промежуток времени потребует значительного количества RAM и свободного места на диске.

В нашем случае через некоторое время в журнале пакетов NetMon появились события, соответствующий примененным фильтрам. Если открыть содержимое пакетов, то можно обнаружить что выполнялась попытка SMTP подключения. Внутри пакетом можно увидеть команды SMTP протокола, попытки аутентификации, адрес целевой сервер и email адрес, на который выполняется отправка (пример SMTP команд в telnet для отправки почты с аутентификацией).

Картинка с сайта: winitpro.ru

В поле Process Name указано имя процесса, который инициировал данные сетевой трафик. В этом случае мы определили, что SMTP рассылка выполняется консольной утилитой
blat.exe
.

Чтобы остановить захват сетевого трафика, нужно нажать кнопку Stop. Полученный дамп трафика можно сохранить *.CAP файл для последующего анализа в офлайн режиме.

Можно добавить дополнительные фильтры по IP или MAC адресу назначения/источника, различным протоколам, портам и специальные фильтры для анализа трафика некоторых протоколов (SMB, HTTP, DNS). Фильтры можно применять как целиком к захваченному трафику, так и для фильтрации отображаемых данных в рамках текущей сессии (окно Display Filter).

Например, чтобы отфильтровать пакеты, можно щелкнуть по любому из значений в списке пакетов и выбрать Add [something] to Display Filter.

Картинка с сайта: winitpro.ru

На скриншоте я добавил правило фильтрации по IP адресу назначения. В окно фильтра был добавлен такой код:

Destination == "ip_adress"

Картинка с сайта: winitpro.ru

Ниже представлены несколько примером часто используемых фильтров Network Monitor.

Фильтр по IP адресу назначения:

IPv4.SourceAddress == 192.168.0.1

Фильтр по IP источника или назначения:

IPv4.Address == 192.168.0.1

Фильтр по номеру TCP порта:

tcp.port == 443
OR
Payloadheader.LowerProtocol.port == 443

Можно указывать диапазоны портов:

(udp.Port>=10000 && udp.port<=19999)

В этой статье мы рассмотрели особенности захвата и последующего анализа сетевого трафика в Windows с помощью Microsoft Network Monitor. Также в Windows для снятия дампа трафика без установки Network Monitor на компьютере можно использовать встроенную консольную утилиту PktMon. Дамп, снятый такой утилитой, можно проанализировать на любом компьютере с установленным NetMon или Wireshark.

Просмотр пакетов и взаимосвязей сетевого трафика с помощью сетевого анализатора Microsoft

Инструмент Network Monitor, реализованный в Windows и Microsoft Systems Management Server (SMS), позволяет выполнять мониторинг сетевого трафика. Мониторинг можно проводить в реальном времени или, перехватив и сохранив сетевой трафик, анализировать его позднее. Сохраненные данные могут использоваться для устранения неполадок в локальных и распределенных сетях, а также практически во всех устройствах, которые задействуют для коммуникаций протокол TCP/IP. Network Monitor имеет три основные области применения.

• Поиск неисправностей в сетевых соединениях. Это основная область применения Network Monitor. Если у вас есть два компьютера, при взаимодействии которых возникают трудности, можно воспользоваться функцией Network Trace для выяснения причины проблемы. Network Monitor также используется для просмотра пакетов TCP/IP, которые пересылаются между двумя устройствами, и данных, содержащихся в каждом из них.
• Оценка сетевой производительности. Network Monitor дает ясную и полную картину работы сети. Если возникает подозрение, что с точки зрения сетевой производительности имеются уязвимые места, можно воспользоваться информацией Network Monitor — например, статистикой о сетевой нагрузке и данными об источниках сетевого трафика — для поиска таких слабых мест. Хотя обычно Network Monitor не используется как базовое средство для выявления проблем в сетевых коммуникациях, это превосходный вспомогательный инструмент, позволяющий отыскать причину неисправности и показать гораздо более детальную картину происходящего, чем это позволяет сделать Performance Monitor.
• Поиск устройства, инициировавшего выдачу «маяка». Так называемый beaconing — процесс выдачи компьютерам в сети кольцевой топологии сигнала о том, что передача маркера прервана из-за серьезной ошибки. До появления коммутируемых сетей с помощью Network Monitor отслеживались проблемы в работе аппаратных сетевых устройств. Сейчас Network Monitor по-прежнему можно использовать для поиска фрагментированных или разрушенных пакетов, генерируемых несправным оборудованием, однако для этого следует установить полную версию Network Monitor, которая поддерживает работу удаленных агентов и перехватывает сетевые пакеты в сегменте даже в том случае, когда трафик не предназначен для станции, на которой запущен Network Monitor. Подробнее о двух версиях Network Monitor рассказано во врезке «Версии Network Monitor». При наличии управляемого коммутатора с помощью комбинации статистик и Network Monitor можно получить исчерпывающую информацию о неисправности для диагностики сетевого оборудования.

Установка Network Monitor

Для того чтобы воспользоваться монитором на сервере, на котором установлен Network Monitor или SMS, необходима сетевая карта, которая поддерживает смешанный режим (так называемый promiscuous mode — состояние, в котором сетевой адаптер обнаруживает в сети все фреймы вне зависимости от их конечного адреса; данный режим поддерживает большинство сетевых адаптеров). При установке Windows Server 2003 и Windows 2000 Server Network Monitor устанавливается только в том случае, если вы явно это указали. Чтобы установить Network Monitor, входящий в состав Windows 2003 и Windows 2000 Server, нужно выполнить следующие действия.

1. Открыть Control Panel (Start, Settings, Control Panel).
2. Дважды щелкнуть Add or Remove Programs.
3. Щелкнуть Add/Remove Windows Components.
4. Щелкнуть Management and Monitoring Tools, затем Details.
5. Установить флажок Network Monitor Tools и щелкнуть ОК.

Запуск Network Monitor

Как только Network Monitor установлен, его можно запускать. Следует щелкнуть Start, Programs, Administrative Tools, Network Monitor. Можно также запустить Network Monitor с командной строки или использовать командный файл. На экране появится начальный экран Network Monitor. Чтобы инициировать захват пакетов, щелкните кнопку Capture. Начнется перехват сетевых пакетов, и окно Network Monitor будет выглядеть примерно так, как показано на экране 1. Как мы видим, основное окно Network Monitor состоит из четырех областей, в которых отображается информация различного типа.

Гистограммы использования сети. Первая область (отмечена цифрой 1 красного цвета) содержит гистограммы, отображающие статистические данные о трафике сервера. Первая полоса — % Network Utilization — самая важная. Если сервер принадлежит сегменту, к которому подключены другие компьютеры, и значение сетевой нагрузки значительно превышает 35%, возможно, сеть станет для данного сервера узким местом. Ethernet использует протокол Carrier Sensing Multiple Access with Collision (CSMA/CD) с обнаружением коллизий. В некоммутируемом Ethernet при сетевой нагрузке свыше 35% число коллизий слишком велико, и это катастрофически снижает производительность. Если придется столкнуться с высокой сетевой загрузкой, следует рассмотреть возможность использования коммутируемого Ethernet для повышения производительности.

Если сервер подключен к выделенному порту коммутатора, сетевая утилизация может быть гораздо выше 35%, при этом задержек по сети не наблюдается. Но если утилизация сети достигает 80%, стоит рассмотреть вопрос об использовании адаптера с двумя портами или перейти на Gigabit Ethernet или 10 Gigabit Ethernet. Если доля широковещательных или групповых пакетов или того и другого слишком велика (более 50% в секунду), вероятно, в сети имеется неисправный сетевой адаптер, выставляющий «маяки», или же просто слишком многие компьютеры выдают широковещательные запросы. Неплохо было бы собирать статистику о сетевом трафике до того, как проблема возникла, тогда в случае инцидента у администратора уже была бы история наблюдений и базовые показатели, относительно которых можно проводить исследование текущего сетевого трафика.

Сетевые соединения. Вторая область (цифра 2 в голубой рамке) отображает список устройств, с которыми связывается данный сервер. Имена в колонке Network Address 1 являются или именами сетевых карт типа Network Monitor supported, используемых в сети, или MAC-адресами (Media Access Control, MAC), если сетевые адаптеры не поддерживают функцию мониторинга. Чтобы вывести список адаптеров в сети, требуется выбрать Options, Show Vendor Names. В колонке 1->2 показано число пакетов, переданных устройству в колонке Network Address 2, а в колонке 1<-2 — число пакетов, полученных от устройства Network Address 2. Необычно высокое значение пакетов, генерируемое специфическими сетевыми адресами, может указывать на неисправный сетевой адаптер или очень интенсивный трафик от определенных сетевых устройств.

Сетевые статистики. Третья область (цифра 3 в зеленой рамке) показывает статистику текущего захваченного сетевого пакета. Если планируется перехватывать пакеты дольше минуты, может потребоваться увеличить размер буфера захвата, в противном случае буфер начнет терять пакеты. По умолчанию размер буфера составляет всего 1 Мбайт и при загруженной сети он заполнится практически мгновенно. Когда буфер становится полным, самые старые пакеты удаляются и заменяются новыми. Для изменения размера буфера нужно выбрать Capture, Buffer Settings и изменить соответствующие настройки. Устанавливаемый размер буфера не должен превышать размер доступной физической памяти, иначе начнется пропуск фреймов из-за свопинга на диск.

Подробная информация о пакете. Четвертая область (цифра 4 в желтой рамке) показывает детальную информацию о числе и типе фреймов, отосланных или принятых с каждого устройства. Если отсылается или принимается необычно большое число байтов с какого-либо устройства, это может означать, что устройство работает неправильно или просто в данный момент пересылает по сети огромный объем данных.

Фильтр сбора данных может быть установлен при помощи меню Capture, Filter с последующей тонкой настройкой параметров фильтра. Фильтр позволяет отслеживать пакеты с привязкой к определенным протоколам, сетевым адресам или текстовым шаблонам. Это способствует снижению размера буфера захвата и может пригодиться в сильно загруженных сетях. Тем, кто раньше не сталкивался с Network Monitor, советую не использовать фильтр, а сперва научиться хорошо ориентироваться во всех типах сетевого трафика. Очень легко отсечь нужные данные, если фильтр будет установлен слишком жестко. После того как перехват трафика будет полностью завершен, я предлагаю ограничиться фильтром отображения (о нем немного позже), чтобы скрыть не подлежащий анализу трафик.

Отображение перехваченных пакетов

После того как нужный объем данных захвачен, следует щелкнуть значок Stop and View для остановки и просмотра захваченных пакетов (на экране 2 обведены красным кружком). На экране 2 показаны результаты процесса захвата. Итоговая информация о захваченных пакетах отображается в нескольких столбцах (в табл. 1 приведено их описание).

Двойной щелчок по фрейму позволяет просмотреть подробную информацию о выбранном пакете (см. экран 3). В верхней зоне окна показаны итоговые данные о захваченных пакетах. В средней зоне размещена подробная информация о пакете, выбранном в верхней зоне. В нижней зоне представлены необработанные данные пакета в шестнадцатеричном виде. При щелчке мышью в области подробной информации (средняя зона) в нижней зоне синхронно отображается соответствующая часть пакета. В средней зоне за значком плюс (+) скрывается дополнительная информация. Средняя зона включает следующие данные.

• Базовые свойства фрейма — общие сведения о пакете, которые собраны Network Monitor, но не представлены в самом захваченном пакете. Это время, когда пакет был захвачен, временной интервал с момента захвата предыдущего фрейма, номер фрейма и его длина.
• Заголовок фрейма — содержит MAC-адреса пакетов источника и приемника, данные маршрутизации и число байтов в оставшейся части пакета.
• Заголовок IP — содержит данные об используемой версии IP (обычно это IP version 4 — IPv4), длину заголовка, тип службы, длину пакета, заданное время жизни пересылаемого пакета TTL (Time To Live, TTL; число пересылок маршрутизаторами данного пакета, прежде чем он будет разрушен), а также IP-адреса источника и приемника.
• Заголовок TCP/UDP/Internet Control Message Protocol (ICMP) — содержит данные о портах источника и приемника, порядковый номер, номер уведомления, смещение данных, флаг TCP, окно, контрольную сумму и число байтов в оставшейся части пакета. Информация в данной секции от протокола к протоколу сильно различается.
• Секция данных — содержит собственно данные. Если в пакете находятся данные высокоуровневого протокола, такого как DNS или HTTP, Network Monitor выводит дополнительную информацию в секции данных пакета.

Настройка фильтров просмотра

После того как пакеты захвачены, можно вывести на экран только те из них, которые соответствуют определенным критериям. Для этого можно воспользоваться фильтром просмотра Network Monitor. Требуется выбрать меню Display, Filter и установить все необходимые условия. Фильтрацию можно производить по адресам, протоколу или свойствам протокола. Например, чтобы установить фильтр, который бы показал только недокументированный заголовок пакетов HTTP, нужно выполнить следующие действия.

1. Выбрать Display, Filter.
2. Щелкнуть Expression.
3. Перейти на вкладку Property. В окне Protocol:Property следует отыскать и выбрать http.
4. Щелкнуть Undocumented Header.
5. В окне Relation выбрать exists и дважды щелкнуть ОК.

Основы сессии TCP/IP

Облегченная версия Network Monitor позволяет захватывать широковещательные пакеты и входящий и исходящий трафик той станции, на которой установлен Network Monitor. Данные Network Monitor очень напоминают содержимое журнала брандмауэра, только они гораздо детальнее. Поначалу поток данных с перехваченными пакетами может показаться устрашающим из-за своего объема. Чтобы смягчить первоначальный шок, стоит заранее узнать, куда смотреть и что искать при интерпретации данных перехвата. Но прежде чем изучать, как следует читать данные пакета, познакомимся с основами сессии TCP/IP. На самом базовом уровне сессия TCP/IP включает следующие компоненты.

1. Установка сессии (трехсторонний процесс квитирования). Сессия TCP/IP начинается с процесса квитирования (handshake). Компьютер-источник, запрашивающий открытие сессии, посылает синхронизирующий (SYN) пакет на компьютер-приемник. Компьютер-приемник отвечает пакетом уведомления (ACK) и устанавливает размер окна данных (data window size). После этого компьютер-источник посылает свой ACK-пакет на компьютер-приемник для подтверждения размера окна данных.
2. Передача данных. Во время сессии данные передаются между двумя компьютерами, причем компьютер-получатель посылает ACK-пакет почти каждый раз при получении данных от отправителя. В нормальных условиях пересылаются пакеты ACK или PSH. Во время сессии передачи данных число пакетов, которые отсылаются без требования подтверждения (ACK-пакеты), может меняться в зависимости от объема сетевого трафика и размера буфера на компьютере-приемнике. Эта ситуация известна как раздвижное или скользящее окно (sliding window), так как объем передаваемых данных может «раздвигаться», пока не потребуется ACK-пакет.
3. Закрытие сессии (модифицированный трехсторонний процесс квитирования). Если имеет место штатное закрытие сессии, то отправитель (т. е. компьютер, инициирующий закрытие сессии), посылает финишный пакет (FIN), означающий, что передача данных завершена полностью. Получатель посылает ACK отправителю, уведомляя его о получении FIN-пакета, а затем ему же посылает FIN-пакет. После этого отправитель посылает ACK-пакет получателю. Закрытие сессии может быть и нештатным. В этом случае отправитель передает пакет получателю, но последний не подтверждает его получение. Тогда отправитель пытается повторно отправить тот же пакет получателю и делает это до тех пор, пока не будет достигнут максимум числа повторных попыток, и тогда сессия завершается аварийно.

Чтение пакетов

Как известно, прежде чем сетевой трафик попадает в сеть, он разбивается на пакеты. Большинство пакетов в сети обычно приходится на TCP; однако могут встречаться и другие типы пакетов, например DNS, ICMP, NetBIOS over TCPIP (NBT) и UDP. Каждый пакет имеет специальный TCP-флаг в секции заголовка пакета и другие флаги, которые перечислены ниже в том порядке, в каком они появляются в заголовке.

• U (URG) — срочность; данные передаются вне очереди.
• A (ACK) — уведомление об успешном приеме данных; сообщает о том, что отправитель знает о получении пакета. Получатель пакета посылает ACK-пакет, в который включен порядковый номер отправителя плюс длина пакета данных, чтобы проконтролировать, что информация пакета была принята правильно.
• P (PSH) — принудительная доставка данных до того, как буфер будет заполнен. Этот флаг обычно используется для интерактивного трафика.
• *R (RST) — сброс; аварийное завершение сессии. Присутствие большого числа пакетов с флагом RST говорит о проблемах в сети.
• S (SYN) — применяется для открытия сессии и получения начального номера последовательности. Часто используется для атак типа «отказ в обслуживании» (Denial of Service, DoS). Хакеры могут попытаться инициировать большое число сессий с неверного IP-адреса, вынудив сервер отвечать пакетами ACK на несуществующий адрес IP. В большинстве брандмауэров предусмотрены меры по защите от DoS-атак.
• F (FIN) — штатное завершение сессии TCP. Пакет FIN означает, что отправитель закончил передачу данных.

Наблюдение за флагами. Большинство сетей имеют трафик, состоящий в основном из ACK- и PSH-пакетов. Если сервер не генерирует постоянно новых сессий, то пакетов SYN должно быть относительно немного. Серверы с огромным числом SYN-пакетов, вероятно, подверглись одной из разновидностей DoS-атаки (иначе называемой SYN flood). Число FIN-пакетов и SYN-пакетов должно быть примерно одинаковым. RST бывает немного. Большое число пакетов RST может быть симптомом неустойчивых сетевых соединений, неисправных адаптеров, высокого сетевого трафика, сбоев в работе коммутаторов или хабов либо сбоев в работе иного сетевого оборудования.

Номера портов. Как мы знаем, пакеты TCP/IP идентифицируют порт источника и приемника пакета. При чтении информации о пакете нужно вести журнал принимающих и передающих портов сервера. Следует также хорошо разбираться в номерах общепринятых портов и портов, используемых в Windows. Если в перехваченном трафике обнаружится неизвестный порт, это может быть признаком активности хакеров. В табл. 2 приведен список наиболее часто используемых портов.

После запуска процесса перехвата пакетов можно воспользоваться дисплейным фильтром для отображения пакетов какого-то специфического протокола. Например, если локализовать проблемы в HTTP-соединениях, перехватить с помощью Network Monitor трафик обмена, а затем отфильтровать пакеты HTTP (порт 80) для локализации проблем связи в данном конкретном протоколе.

Повторные передачи пакетов. Network Monitor может использоваться для решения проблем на уровне взаимодействия компьютеров. Обратите внимание на пакеты повторной передачи (т. е. пакеты с флагом R в заголовке пакета), которые имеют более продолжительные тайм-ауты и статические порядковые номера на множестве пакетов. Ретрансмиссии возникают в том случае, когда обмен данными между двумя компьютерами был по какой-либо причине прерван — например, из-за неисправного оборудования или задержек WAN. При появлении ретрансмиссии тайм-аут увеличивается вдвое, пока число повторных попыток не достигнет 5 (по умолчанию). На экране 4 показан перехваченный трафик в ситуации, когда во время передачи файла по FTP от компьютера-клиента отсоединили сетевой кабель. Номера фреймов с 834 по 992 (левая колонка в верхней части) имеют одинаковые порядковые номера для всех пакетов, что указывает на неполадки в соединении. Во фреймах с 1172 по 1385 снова встречается тот же самый порядковый номер. При нормальном FTP-трафике порядковый номер в каждом пакете должен возрастать, а не оставаться прежним. Обратите внимание, что потребовалось в общей сложности 10 пакетов для аварийного завершения передачи по FTP — пять повторных попыток передать данные и еще пять повторных попыток закрыть соединение. Заметьте метку времени 77.012668 в 834-м фрейме. Временной интервал между 834-м и 845-м фреймами (77,668893-77,012668) составляет 0,656225. Между 845-м и 868-м фреймами — 1,312449, что вдвое больше 0,656225. Для каждого следующего пакета время удваивается, пока не будет достигнут максимум числа повторных попыток (в данном случае пять).

При использовании медленного соединения с WAN или линии с большим разбросом скорости соединения максимальное число попыток, возможно, потребуется увеличить. Для этого на сервере, где запускается Network Monitor, нужно найти раздел реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ServicesTcpipParameters и добавить параметр (тип DWORD) TcpMaxDataRetransmissions. Установите значение decimal и укажите число больше 5.

Наблюдение за пакетом может подсказать оптимальное значение этого параметра для конкретной среды работы. Например, в случае проблемы ретрансмиссий следует увеличить TcpMaxDataRetransmissions до заведомо большего значения, например 20, и посмотреть, сколько соединений восстанавливают передачу данных. Если окажется, что большинство сессий FTP удовлетворяется, скажем, восемью ретрансмиссиями, требуется переустановить TcpMaxDataRetransmissions на сервере в значение 9. Это несколько затормозит работу сервера, если сеть WAN перестала работать, но соединение с клиентом по-прежнему будет активным.

Изначально величина тайм-аута для любой сессии равна 3 секундам, а затем она настраивается в зависимости от скорости соединения. Мы рассматривали пример с LAN, поэтому самая первая повторная попытка соединения была предпринята через очень короткий промежуток времени — 0,65 с. Для медленного WAN-соединения увеличение максимума ретрансмиссий может привести к продолжительной задержке в работе сервера, прежде чем соединение будет оборвано по тайм-ауту. Если используется медленный канал связи и начальное значение тайм-аута равно пяти секундам, сколько времени соединение будет «висеть» при максимальной ретрансмиссии 6? Ответ — 315 секунд, или дольше 5 минут (5+10+20+40+80+160).

Network Monitor как средство противодействия AUTH Attack

Одним из примеров практического применения Network Monitor может служить анализ входящего и исходящего трафика, если возникло подозрение, что сервер подвергается атаке извне. Возможно, многим приходилось сталкиваться с таким типом атаки, когда спамеры бомбардируют сервер Exchange командами SMTP AUTH до тех пор, пока не удается успешно зарегистрироваться на сервере. По умолчанию Microsoft Exchange Server 2003 и Microsoft Exchange 2000 Server позволяют почтовому серверу ретранслировать сообщения, если отправитель смог выполнить аутентификацию, указав правильное имя и пароль. Получить правильное имя и пароль спамер может при помощи атаки на почтовый сервер перебором имен и паролей или используя некоторые специфические типы атак на сеть. Вы можете включить журнал Exchange Diagnostics Logging и установить максимальное значение для параметра MSExchangeTransport Categories, который показывает User ID, используемый для аутентификации на сервере. Однако оснастка Microsoft Management Console (MMC) Event Viewer обычно не отображает IP-адрес спамера. Этот адрес можно получить, отследив трассу пакета.

1. Установите Network Monitor на сервер Exchange и начните собирать пакеты. Конечно, для получения искомого IP-адреса нужно дождаться, пока спамер не выполнит аутентификацию на сервере. Может потребоваться увеличить размер буфера, чтобы не потерять пакеты. После аутентификации спамера на сервере перехват пакетов следует остановить.
2. Установите фильтр TCPDestination Port 25 (см. экран 5). Для этого выберите Display, Filter и строчку Protocol==Any в окне Display Filter. Щелкните кнопку Edit Expression, затем перейдите на вкладку Property. Дважды щелкните +TCP, затем выберите Destination Port. Щелкните == в окне Relation, выберите Decimal (ниже окна Value), введите значение 25 (SMTP) и щелкните ОК
3. Найдите команду Auth Login. Проверяйте данные в каждом SMTP-пакете, пока не отыщите пакет, который содержит Auth Login. В верхней части окна в колонке Src Other Addr покажет IP-адрес спамера. Хотя IP-адрес может быть ложным, вы по крайней мере сможете заблокировать трафик через 25-й порт от этого адреса для предотвращения подобной ситуации в будущем. Еще лучше отключить Basic and Integrated Windows Authentication на любом внешнем сервере Exchange, чтобы не позволить пользователям выполнять аутентификацию на почтовом сервере при отправке почты.
4. Найдите имя пользователя: следующая командная строка в поле данных TCP должна содержать имя и пароль, которые вводились для аутентификации. Однако эти данные зашифрованы кодером Base64, так что нужно воспользоваться декодером Base64 для расшифровки. В Internet есть множество кодер/декодеров Base64. Следует попрактиковаться на декодере Dillfrog и расшифровать с его помощью имя c3BhbW1lcg== и пароль cmVsYXk=. Декодированные ответы приведены в конце статьи. Конечно, как уже отмечалось ранее, можно повысить и уровень собираемой сервером Exchange диагностики для просмотра User ID, который использовался для аутентификации на сервере.

Оружие для решения сетевых проблем

Network Monitor — удобный инструмент для локализации неисправностей в сети, но для достижения наилучших результатов он требует некоторого опыта. Изучить основы работы с Network Monitor желательно до того, как в сети возникнут неполадки. Определите базовые характеристики вашей сети и не дожидайтесь того момента, когда будете вынуждены обучаться работе с Network Monitor в «боевых» условиях. Network Monitor и другие сетевые анализаторы независимых поставщиков программного обеспечения требуют экспертного отношения для быстрой локализации и разрешения проблем. Не теряя времени, возьмитесь за изучение Network Monitor и используйте его богатые возможности.

Ответы к примеру декодирования:

c3BhbW1lcg== spammer

cmVsYXk= relay

Ресурсы

Статьи Microsoft

Web-сайты

Dillfrog Base64 Encoder

Версии Network Monitor

Существует две версии Network Monitor: полная версия, которая поставляется вместе с Microsoft Systems Management Server (SMS), и облегченная версия, поставляемая вместе с Windows Server 2003, Windows 2000 Server и Windows NT Server 4.0. Облегченная версия содержит некоторое подмножество команд полной версии. В данной статье основное внимание будет уделено облегченной версии Network Monitor, поскольку большинство пользователей работает именно с ней. Версии Network Monitor имеют несколько отличий.

• Захват трафика. Наиболее существенные различия между версиями заключаются в типе сетевого трафика, который может быть перехвачен. Облегченная версия позволяет перехватить только широковещательный трафик и трафик, посылаемый или принимаемый со станции, на которой установлен Network Monitor. Полная версия может перехватывать весь трафик сегмента вне зависимости от источника или приемника передаваемых пакетов. Для коммутируемых сетей большинство серверов (и некоторая часть рабочих станций) подключены к выделенным коммутируемым портам. Это приводит к тому, что перехватить трафик из других сегментов становится сложнее, поскольку коммутаторы нередко изолируют сетевой трафик уровня 2 и 3 в тех сегментах, где два устройства обмениваются пакетами. Полная версия Network Monitor позволяет перехватить данные с удаленных агентов, установленных в разных сетевых сегментах. Это особенно удобно при поиске неисправностей в удаленном сегменте.
• Experts. Этот инструмент доступен только в полной версии. Он дает подробные разъяснения относительно перехваченного трафика и дешифрует пакеты.
• Find Routers. Это команда меню Tools, она доступна только в полной версии. С ее помощью можно идентифицировать IP-адреса сетевых маршрутизаторов.
• Resolve Addresses from Name. Это команда меню Tools, она доступна только в полной версии. Данная команда позволяет разрешить адреса по имени Fully Qualified Domain Name (FQDN).

Если необходимо выполнить мониторинг удаленных сегментов или нужна функциональность, отсутствующая в облегченной версии, стоит рассмотреть возможность приобретения SMS и получения полной версии Network Monitor. Или же можно рекомендовать приобрести сетевой монитор независимого поставщика программного обеспечения с поддержкой мониторинга удаленных сегментов. До того как коммутируемые сети стали популярными, было гораздо проще перехватывать сетевые данные, поскольку один и тот же сетевой сегмент использовался большим числом компьютеров. До появления коммутируемых сетей я использовал Network Monitor в основном для поиска «маяков» или неисправных сетевых карт, которые нарушали работу сети. Сегодня управляемые коммутаторы умеют выполнять эту функцию самостоятельно. Если используется управляемый коммутатор и есть подозрение на некорректную работу NIC или иного устройства, следует проверить статистику коммутатора и обратить внимание на порты, для которых выявлено большое число пакетов и/или ошибок. После того как идентифицирован потенциально неисправный порт, нужно запустить Network Monitor и перехватить сетевой трафик порта. Также можно по-прежнему использовать Network Monitor как традиционное средство перехвата пакетов для идентификации проблем соединения, контроля утилизации сети и мониторинга серверного сетевого трафика.

Алан Сугано (asugano@adscon.com) — президент компании ADS Consulting Group, специализирующейся на сетевых технологиях, программировании, проектировании
на базе Microsoft .NET и SQL Server.

Today we’re going to show you how to monitor and collect Traffic on a Windows Server 2008 quickly and easily using a couple software programs that will automate most of the process for you as a network engineer or administrator.

As many of you know, its beneficial to track all inbound and outbound traffic to and from a Windows 2008 server (and really from any server in your IT Infrastructure) in order to see whats really going on in the network and to diagnose potential bottlenecks in your infrastructure that can be caused by either hardware or software issues.

In order to get this process started, head over to Microsoft and download “NetMon“, or Network Monitor from Microsoft.

This will allow us to see all inbound and outbound traffic coming to and from your Windows 2008 Server in your network.

Follow this short video to get the NetMon software installed on your Windows 2008 Server:

After you’ve installed NetMon on your Server, we’ll walk you through the steps of monitoring traffic on your server and see which users, IP addresses, and programs are consuming the most bandwidth in your network.

Installing NetMon Step-on Windows 2008 Server to Capture Network Traffic

Let’s go through the Process of getting NetMon configured to analyze IP traffic on your Server.

1. Open up “NetMon” program from your Start Menu.
2. Once it starts up, in the Recent Captures windows, click “New Capture Tab”
   

   Картинка с сайта: www.ittsystems.com

3. Once the new Capture window shows up, Click the “Capture Settings” button as seen in the below screenshot.
   

   Картинка с сайта: www.ittsystems.com

4. When the Capture Settings window comes up, Un-check all the Network Adapters you don’t want to monitor and only leave the Network Adapter checked that you want to Monitor. (Most servers have multiple network interfaces). Then click the “Close” button.
   

   Картинка с сайта: www.ittsystems.com

5. Click the “Tools” menu at the Top, and click “Options” to bring up the Options Menu.
   When the Option window opens, click on “Parser Profiles” and select the (1) “Default” parser profile as seen in the screenshot below, and then click the (2) “Set As Active” button to enable the profile and then click (3) “OK”
   

   Картинка с сайта: www.ittsystems.com

6. You can now click the green “Start” button to start capturing traffic on the Network.
   

   Картинка с сайта: www.ittsystems.com

7. At this point, you will start to see all Traffic and Process on the left side and in the middle “Frame Summary” window, there will be a continuous list of programs, IP addresses, Protocols, Source/Destination addresses and more information about the traffic coming in and out of the interface on that particular server.

Learning to Detect and analyze Network Bandwidth and Traffic on Windows Server 2008 is a great way to see what kind of network overhead your server and infrastructure is Utilizing and processing and then figure out ways to diagnose any problematic programs, processes and potential thwart outside threats that could be looking to infiltrate your network.

Monitoring networking resources is also a good way to plan for growth for the future – if you are seeing that your Server is not able to handle the kind of demand your users are asking out of it, then it might be time to upgraded to high-throughput machine or considering upgrading your existing network hardware.

We highly suggest that you use a Network Monitoring system in order to get a full overview of whats going on in your network at all times.

These software systems not only manage multiple Windows servers, but also have the ability to collect data from Network devices such as switches, routers, firewall and other networked devices.

Some recommended Windows Monitoring Software for keeping an eye on your network include: 

• PRTG Network Monitor – FREE TRIAL – Start a 30-day free trial (Monitor 100 Sensors for FREE, Forever! See our full PRTG review here).
• Site24x7 Network Traffic Monitor – FREE TRIAL – Get a 30-day free trial (the full Site24x7 platform also monitors Windows servers).
• ManageEngine OpManager – FREE TRIAL – Another Great option for monitoring your Windows Environment/Servers as well – start a 30-day free trial.
• SolarWinds Network Performance Monitor
• Nagios (although Nagios is not commercially supported, many admins swear by it. See this for some Alternatives to Nagios)

Knowing How to properly Manage and Monitor traffic on Windows 2008 Server and monitor bandwidth consumption is a good way to keep a hawk-eye on your network.

There are plenty of utilities and tools that can help you monitor and analyze traffic for Free – We hope this article has assisted you in your end-goal.