Просмотр пакетов и взаимосвязей сетевого трафика с помощью сетевого анализатора Microsoft
Инструмент Network Monitor, реализованный в Windows и Microsoft Systems Management Server (SMS), позволяет выполнять мониторинг сетевого трафика. Мониторинг можно проводить в реальном времени или, перехватив и сохранив сетевой трафик, анализировать его позднее. Сохраненные данные могут использоваться для устранения неполадок в локальных и распределенных сетях, а также практически во всех устройствах, которые задействуют для коммуникаций протокол TCP/IP. Network Monitor имеет три основные области применения.
- Поиск неисправностей в сетевых соединениях. Это основная область применения Network Monitor. Если у вас есть два компьютера, при взаимодействии которых возникают трудности, можно воспользоваться функцией Network Trace для выяснения причины проблемы. Network Monitor также используется для просмотра пакетов TCP/IP, которые пересылаются между двумя устройствами, и данных, содержащихся в каждом из них.
- Оценка сетевой производительности. Network Monitor дает ясную и полную картину работы сети. Если возникает подозрение, что с точки зрения сетевой производительности имеются уязвимые места, можно воспользоваться информацией Network Monitor — например, статистикой о сетевой нагрузке и данными об источниках сетевого трафика — для поиска таких слабых мест. Хотя обычно Network Monitor не используется как базовое средство для выявления проблем в сетевых коммуникациях, это превосходный вспомогательный инструмент, позволяющий отыскать причину неисправности и показать гораздо более детальную картину происходящего, чем это позволяет сделать Performance Monitor.
- Поиск устройства, инициировавшего выдачу «маяка». Так называемый beaconing — процесс выдачи компьютерам в сети кольцевой топологии сигнала о том, что передача маркера прервана из-за серьезной ошибки. До появления коммутируемых сетей с помощью Network Monitor отслеживались проблемы в работе аппаратных сетевых устройств. Сейчас Network Monitor по-прежнему можно использовать для поиска фрагментированных или разрушенных пакетов, генерируемых несправным оборудованием, однако для этого следует установить полную версию Network Monitor, которая поддерживает работу удаленных агентов и перехватывает сетевые пакеты в сегменте даже в том случае, когда трафик не предназначен для станции, на которой запущен Network Monitor. Подробнее о двух версиях Network Monitor рассказано во врезке «Версии Network Monitor». При наличии управляемого коммутатора с помощью комбинации статистик и Network Monitor можно получить исчерпывающую информацию о неисправности для диагностики сетевого оборудования.
Установка Network Monitor
Для того чтобы воспользоваться монитором на сервере, на котором установлен Network Monitor или SMS, необходима сетевая карта, которая поддерживает смешанный режим (так называемый promiscuous mode — состояние, в котором сетевой адаптер обнаруживает в сети все фреймы вне зависимости от их конечного адреса; данный режим поддерживает большинство сетевых адаптеров). При установке Windows Server 2003 и Windows 2000 Server Network Monitor устанавливается только в том случае, если вы явно это указали. Чтобы установить Network Monitor, входящий в состав Windows 2003 и Windows 2000 Server, нужно выполнить следующие действия.
- Открыть Control Panel (Start, Settings, Control Panel).
- Дважды щелкнуть Add or Remove Programs.
- Щелкнуть Add/Remove Windows Components.
- Щелкнуть Management and Monitoring Tools, затем Details.
- Установить флажок Network Monitor Tools и щелкнуть ОК.
Запуск Network Monitor
Как только Network Monitor установлен, его можно запускать. Следует щелкнуть Start, Programs, Administrative Tools, Network Monitor. Можно также запустить Network Monitor с командной строки или использовать командный файл. На экране появится начальный экран Network Monitor. Чтобы инициировать захват пакетов, щелкните кнопку Capture. Начнется перехват сетевых пакетов, и окно Network Monitor будет выглядеть примерно так, как показано на экране 1. Как мы видим, основное окно Network Monitor состоит из четырех областей, в которых отображается информация различного типа.
Гистограммы использования сети. Первая область (отмечена цифрой 1 красного цвета) содержит гистограммы, отображающие статистические данные о трафике сервера. Первая полоса — % Network Utilization — самая важная. Если сервер принадлежит сегменту, к которому подключены другие компьютеры, и значение сетевой нагрузки значительно превышает 35%, возможно, сеть станет для данного сервера узким местом. Ethernet использует протокол Carrier Sensing Multiple Access with Collision (CSMA/CD) с обнаружением коллизий. В некоммутируемом Ethernet при сетевой нагрузке свыше 35% число коллизий слишком велико, и это катастрофически снижает производительность. Если придется столкнуться с высокой сетевой загрузкой, следует рассмотреть возможность использования коммутируемого Ethernet для повышения производительности.
Если сервер подключен к выделенному порту коммутатора, сетевая утилизация может быть гораздо выше 35%, при этом задержек по сети не наблюдается. Но если утилизация сети достигает 80%, стоит рассмотреть вопрос об использовании адаптера с двумя портами или перейти на Gigabit Ethernet или 10 Gigabit Ethernet. Если доля широковещательных или групповых пакетов или того и другого слишком велика (более 50% в секунду), вероятно, в сети имеется неисправный сетевой адаптер, выставляющий «маяки», или же просто слишком многие компьютеры выдают широковещательные запросы. Неплохо было бы собирать статистику о сетевом трафике до того, как проблема возникла, тогда в случае инцидента у администратора уже была бы история наблюдений и базовые показатели, относительно которых можно проводить исследование текущего сетевого трафика.
Экран 1. Основное окно Network Monitor |
Сетевые соединения. Вторая область (цифра 2 в голубой рамке) отображает список устройств, с которыми связывается данный сервер. Имена в колонке Network Address 1 являются или именами сетевых карт типа Network Monitor supported, используемых в сети, или MAC-адресами (Media Access Control, MAC), если сетевые адаптеры не поддерживают функцию мониторинга. Чтобы вывести список адаптеров в сети, требуется выбрать Options, Show Vendor Names. В колонке 1->2 показано число пакетов, переданных устройству в колонке Network Address 2, а в колонке 1<-2 — число пакетов, полученных от устройства Network Address 2. Необычно высокое значение пакетов, генерируемое специфическими сетевыми адресами, может указывать на неисправный сетевой адаптер или очень интенсивный трафик от определенных сетевых устройств.
Сетевые статистики. Третья область (цифра 3 в зеленой рамке) показывает статистику текущего захваченного сетевого пакета. Если планируется перехватывать пакеты дольше минуты, может потребоваться увеличить размер буфера захвата, в противном случае буфер начнет терять пакеты. По умолчанию размер буфера составляет всего 1 Мбайт и при загруженной сети он заполнится практически мгновенно. Когда буфер становится полным, самые старые пакеты удаляются и заменяются новыми. Для изменения размера буфера нужно выбрать Capture, Buffer Settings и изменить соответствующие настройки. Устанавливаемый размер буфера не должен превышать размер доступной физической памяти, иначе начнется пропуск фреймов из-за свопинга на диск.
Подробная информация о пакете. Четвертая область (цифра 4 в желтой рамке) показывает детальную информацию о числе и типе фреймов, отосланных или принятых с каждого устройства. Если отсылается или принимается необычно большое число байтов с какого-либо устройства, это может означать, что устройство работает неправильно или просто в данный момент пересылает по сети огромный объем данных.
Фильтр сбора данных может быть установлен при помощи меню Capture, Filter с последующей тонкой настройкой параметров фильтра. Фильтр позволяет отслеживать пакеты с привязкой к определенным протоколам, сетевым адресам или текстовым шаблонам. Это способствует снижению размера буфера захвата и может пригодиться в сильно загруженных сетях. Тем, кто раньше не сталкивался с Network Monitor, советую не использовать фильтр, а сперва научиться хорошо ориентироваться во всех типах сетевого трафика. Очень легко отсечь нужные данные, если фильтр будет установлен слишком жестко. После того как перехват трафика будет полностью завершен, я предлагаю ограничиться фильтром отображения (о нем немного позже), чтобы скрыть не подлежащий анализу трафик.
Отображение перехваченных пакетов
После того как нужный объем данных захвачен, следует щелкнуть значок Stop and View для остановки и просмотра захваченных пакетов (на экране 2 обведены красным кружком). На экране 2 показаны результаты процесса захвата. Итоговая информация о захваченных пакетах отображается в нескольких столбцах (в табл. 1 приведено их описание).
Экран 2. Результаты захвата пакетов |
Двойной щелчок по фрейму позволяет просмотреть подробную информацию о выбранном пакете (см. экран 3). В верхней зоне окна показаны итоговые данные о захваченных пакетах. В средней зоне размещена подробная информация о пакете, выбранном в верхней зоне. В нижней зоне представлены необработанные данные пакета в шестнадцатеричном виде. При щелчке мышью в области подробной информации (средняя зона) в нижней зоне синхронно отображается соответствующая часть пакета. В средней зоне за значком плюс (+) скрывается дополнительная информация. Средняя зона включает следующие данные.
- Базовые свойства фрейма — общие сведения о пакете, которые собраны Network Monitor, но не представлены в самом захваченном пакете. Это время, когда пакет был захвачен, временной интервал с момента захвата предыдущего фрейма, номер фрейма и его длина.
- Заголовок фрейма — содержит MAC-адреса пакетов источника и приемника, данные маршрутизации и число байтов в оставшейся части пакета.
- Заголовок IP — содержит данные об используемой версии IP (обычно это IP version 4 — IPv4), длину заголовка, тип службы, длину пакета, заданное время жизни пересылаемого пакета TTL (Time To Live, TTL; число пересылок маршрутизаторами данного пакета, прежде чем он будет разрушен), а также IP-адреса источника и приемника.
- Заголовок TCP/UDP/Internet Control Message Protocol (ICMP) — содержит данные о портах источника и приемника, порядковый номер, номер уведомления, смещение данных, флаг TCP, окно, контрольную сумму и число байтов в оставшейся части пакета. Информация в данной секции от протокола к протоколу сильно различается.
- Секция данных — содержит собственно данные. Если в пакете находятся данные высокоуровневого протокола, такого как DNS или HTTP, Network Monitor выводит дополнительную информацию в секции данных пакета.
Настройка фильтров просмотра
После того как пакеты захвачены, можно вывести на экран только те из них, которые соответствуют определенным критериям. Для этого можно воспользоваться фильтром просмотра Network Monitor. Требуется выбрать меню Display, Filter и установить все необходимые условия. Фильтрацию можно производить по адресам, протоколу или свойствам протокола. Например, чтобы установить фильтр, который бы показал только недокументированный заголовок пакетов HTTP, нужно выполнить следующие действия.
- Выбрать Display, Filter.
- Щелкнуть Expression.
- Перейти на вкладку Property. В окне Protocol:Property следует отыскать и выбрать http.
- Щелкнуть Undocumented Header.
- В окне Relation выбрать exists и дважды щелкнуть ОК.
Основы сессии TCP/IP
Облегченная версия Network Monitor позволяет захватывать широковещательные пакеты и входящий и исходящий трафик той станции, на которой установлен Network Monitor. Данные Network Monitor очень напоминают содержимое журнала брандмауэра, только они гораздо детальнее. Поначалу поток данных с перехваченными пакетами может показаться устрашающим из-за своего объема. Чтобы смягчить первоначальный шок, стоит заранее узнать, куда смотреть и что искать при интерпретации данных перехвата. Но прежде чем изучать, как следует читать данные пакета, познакомимся с основами сессии TCP/IP. На самом базовом уровне сессия TCP/IP включает следующие компоненты.
- Установка сессии (трехсторонний процесс квитирования). Сессия TCP/IP начинается с процесса квитирования (handshake). Компьютер-источник, запрашивающий открытие сессии, посылает синхронизирующий (SYN) пакет на компьютер-приемник. Компьютер-приемник отвечает пакетом уведомления (ACK) и устанавливает размер окна данных (data window size). После этого компьютер-источник посылает свой ACK-пакет на компьютер-приемник для подтверждения размера окна данных.
- Передача данных. Во время сессии данные передаются между двумя компьютерами, причем компьютер-получатель посылает ACK-пакет почти каждый раз при получении данных от отправителя. В нормальных условиях пересылаются пакеты ACK или PSH. Во время сессии передачи данных число пакетов, которые отсылаются без требования подтверждения (ACK-пакеты), может меняться в зависимости от объема сетевого трафика и размера буфера на компьютере-приемнике. Эта ситуация известна как раздвижное или скользящее окно (sliding window), так как объем передаваемых данных может «раздвигаться», пока не потребуется ACK-пакет.
- Закрытие сессии (модифицированный трехсторонний процесс квитирования). Если имеет место штатное закрытие сессии, то отправитель (т. е. компьютер, инициирующий закрытие сессии), посылает финишный пакет (FIN), означающий, что передача данных завершена полностью. Получатель посылает ACK отправителю, уведомляя его о получении FIN-пакета, а затем ему же посылает FIN-пакет. После этого отправитель посылает ACK-пакет получателю. Закрытие сессии может быть и нештатным. В этом случае отправитель передает пакет получателю, но последний не подтверждает его получение. Тогда отправитель пытается повторно отправить тот же пакет получателю и делает это до тех пор, пока не будет достигнут максимум числа повторных попыток, и тогда сессия завершается аварийно.
Чтение пакетов
Как известно, прежде чем сетевой трафик попадает в сеть, он разбивается на пакеты. Большинство пакетов в сети обычно приходится на TCP; однако могут встречаться и другие типы пакетов, например DNS, ICMP, NetBIOS over TCPIP (NBT) и UDP. Каждый пакет имеет специальный TCP-флаг в секции заголовка пакета и другие флаги, которые перечислены ниже в том порядке, в каком они появляются в заголовке.
- U (URG) — срочность; данные передаются вне очереди.
- A (ACK) — уведомление об успешном приеме данных; сообщает о том, что отправитель знает о получении пакета. Получатель пакета посылает ACK-пакет, в который включен порядковый номер отправителя плюс длина пакета данных, чтобы проконтролировать, что информация пакета была принята правильно.
- P (PSH) — принудительная доставка данных до того, как буфер будет заполнен. Этот флаг обычно используется для интерактивного трафика.
- *R (RST) — сброс; аварийное завершение сессии. Присутствие большого числа пакетов с флагом RST говорит о проблемах в сети.
- S (SYN) — применяется для открытия сессии и получения начального номера последовательности. Часто используется для атак типа «отказ в обслуживании» (Denial of Service, DoS). Хакеры могут попытаться инициировать большое число сессий с неверного IP-адреса, вынудив сервер отвечать пакетами ACK на несуществующий адрес IP. В большинстве брандмауэров предусмотрены меры по защите от DoS-атак.
- F (FIN) — штатное завершение сессии TCP. Пакет FIN означает, что отправитель закончил передачу данных.
Наблюдение за флагами. Большинство сетей имеют трафик, состоящий в основном из ACK- и PSH-пакетов. Если сервер не генерирует постоянно новых сессий, то пакетов SYN должно быть относительно немного. Серверы с огромным числом SYN-пакетов, вероятно, подверглись одной из разновидностей DoS-атаки (иначе называемой SYN flood). Число FIN-пакетов и SYN-пакетов должно быть примерно одинаковым. RST бывает немного. Большое число пакетов RST может быть симптомом неустойчивых сетевых соединений, неисправных адаптеров, высокого сетевого трафика, сбоев в работе коммутаторов или хабов либо сбоев в работе иного сетевого оборудования.
Экран 3. Детальная информация из фрейма |
Номера портов. Как мы знаем, пакеты TCP/IP идентифицируют порт источника и приемника пакета. При чтении информации о пакете нужно вести журнал принимающих и передающих портов сервера. Следует также хорошо разбираться в номерах общепринятых портов и портов, используемых в Windows. Если в перехваченном трафике обнаружится неизвестный порт, это может быть признаком активности хакеров. В табл. 2 приведен список наиболее часто используемых портов.
После запуска процесса перехвата пакетов можно воспользоваться дисплейным фильтром для отображения пакетов какого-то специфического протокола. Например, если локализовать проблемы в HTTP-соединениях, перехватить с помощью Network Monitor трафик обмена, а затем отфильтровать пакеты HTTP (порт 80) для локализации проблем связи в данном конкретном протоколе.
Повторные передачи пакетов. Network Monitor может использоваться для решения проблем на уровне взаимодействия компьютеров. Обратите внимание на пакеты повторной передачи (т. е. пакеты с флагом R в заголовке пакета), которые имеют более продолжительные тайм-ауты и статические порядковые номера на множестве пакетов. Ретрансмиссии возникают в том случае, когда обмен данными между двумя компьютерами был по какой-либо причине прерван — например, из-за неисправного оборудования или задержек WAN. При появлении ретрансмиссии тайм-аут увеличивается вдвое, пока число повторных попыток не достигнет 5 (по умолчанию). На экране 4 показан перехваченный трафик в ситуации, когда во время передачи файла по FTP от компьютера-клиента отсоединили сетевой кабель. Номера фреймов с 834 по 992 (левая колонка в верхней части) имеют одинаковые порядковые номера для всех пакетов, что указывает на неполадки в соединении. Во фреймах с 1172 по 1385 снова встречается тот же самый порядковый номер. При нормальном FTP-трафике порядковый номер в каждом пакете должен возрастать, а не оставаться прежним. Обратите внимание, что потребовалось в общей сложности 10 пакетов для аварийного завершения передачи по FTP — пять повторных попыток передать данные и еще пять повторных попыток закрыть соединение. Заметьте метку времени 77.012668 в 834-м фрейме. Временной интервал между 834-м и 845-м фреймами (77,668893-77,012668) составляет 0,656225. Между 845-м и 868-м фреймами — 1,312449, что вдвое больше 0,656225. Для каждого следующего пакета время удваивается, пока не будет достигнут максимум числа повторных попыток (в данном случае пять).
При использовании медленного соединения с WAN или линии с большим разбросом скорости соединения максимальное число попыток, возможно, потребуется увеличить. Для этого на сервере, где запускается Network Monitor, нужно найти раздел реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ServicesTcpipParameters и добавить параметр (тип DWORD) TcpMaxDataRetransmissions. Установите значение decimal и укажите число больше 5.
Наблюдение за пакетом может подсказать оптимальное значение этого параметра для конкретной среды работы. Например, в случае проблемы ретрансмиссий следует увеличить TcpMaxDataRetransmissions до заведомо большего значения, например 20, и посмотреть, сколько соединений восстанавливают передачу данных. Если окажется, что большинство сессий FTP удовлетворяется, скажем, восемью ретрансмиссиями, требуется переустановить TcpMaxDataRetransmissions на сервере в значение 9. Это несколько затормозит работу сервера, если сеть WAN перестала работать, но соединение с клиентом по-прежнему будет активным.
Экран 4. Увеличение значений тайм-аутов при трассировке пакетов |
Изначально величина тайм-аута для любой сессии равна 3 секундам, а затем она настраивается в зависимости от скорости соединения. Мы рассматривали пример с LAN, поэтому самая первая повторная попытка соединения была предпринята через очень короткий промежуток времени — 0,65 с. Для медленного WAN-соединения увеличение максимума ретрансмиссий может привести к продолжительной задержке в работе сервера, прежде чем соединение будет оборвано по тайм-ауту. Если используется медленный канал связи и начальное значение тайм-аута равно пяти секундам, сколько времени соединение будет «висеть» при максимальной ретрансмиссии 6? Ответ — 315 секунд, или дольше 5 минут (5+10+20+40+80+160).
Network Monitor как средство противодействия AUTH Attack
Одним из примеров практического применения Network Monitor может служить анализ входящего и исходящего трафика, если возникло подозрение, что сервер подвергается атаке извне. Возможно, многим приходилось сталкиваться с таким типом атаки, когда спамеры бомбардируют сервер Exchange командами SMTP AUTH до тех пор, пока не удается успешно зарегистрироваться на сервере. По умолчанию Microsoft Exchange Server 2003 и Microsoft Exchange 2000 Server позволяют почтовому серверу ретранслировать сообщения, если отправитель смог выполнить аутентификацию, указав правильное имя и пароль. Получить правильное имя и пароль спамер может при помощи атаки на почтовый сервер перебором имен и паролей или используя некоторые специфические типы атак на сеть. Вы можете включить журнал Exchange Diagnostics Logging и установить максимальное значение для параметра MSExchangeTransport Categories, который показывает User ID, используемый для аутентификации на сервере. Однако оснастка Microsoft Management Console (MMC) Event Viewer обычно не отображает IP-адрес спамера. Этот адрес можно получить, отследив трассу пакета.
- Установите Network Monitor на сервер Exchange и начните собирать пакеты. Конечно, для получения искомого IP-адреса нужно дождаться, пока спамер не выполнит аутентификацию на сервере. Может потребоваться увеличить размер буфера, чтобы не потерять пакеты. После аутентификации спамера на сервере перехват пакетов следует остановить.
- Установите фильтр TCPDestination Port 25 (см. экран 5). Для этого выберите Display, Filter и строчку Protocol==Any в окне Display Filter. Щелкните кнопку Edit Expression, затем перейдите на вкладку Property. Дважды щелкните +TCP, затем выберите Destination Port. Щелкните == в окне Relation, выберите Decimal (ниже окна Value), введите значение 25 (SMTP) и щелкните ОК
- Найдите команду Auth Login. Проверяйте данные в каждом SMTP-пакете, пока не отыщите пакет, который содержит Auth Login. В верхней части окна в колонке Src Other Addr покажет IP-адрес спамера. Хотя IP-адрес может быть ложным, вы по крайней мере сможете заблокировать трафик через 25-й порт от этого адреса для предотвращения подобной ситуации в будущем. Еще лучше отключить Basic and Integrated Windows Authentication на любом внешнем сервере Exchange, чтобы не позволить пользователям выполнять аутентификацию на почтовом сервере при отправке почты.
- Найдите имя пользователя: следующая командная строка в поле данных TCP должна содержать имя и пароль, которые вводились для аутентификации. Однако эти данные зашифрованы кодером Base64, так что нужно воспользоваться декодером Base64 для расшифровки. В Internet есть множество кодер/декодеров Base64. Следует попрактиковаться на декодере Dillfrog и расшифровать с его помощью имя c3BhbW1lcg== и пароль cmVsYXk=. Декодированные ответы приведены в конце статьи. Конечно, как уже отмечалось ранее, можно повысить и уровень собираемой сервером Exchange диагностики для просмотра User ID, который использовался для аутентификации на сервере.
Оружие для решения сетевых проблем
Network Monitor — удобный инструмент для локализации неисправностей в сети, но для достижения наилучших результатов он требует некоторого опыта. Изучить основы работы с Network Monitor желательно до того, как в сети возникнут неполадки. Определите базовые характеристики вашей сети и не дожидайтесь того момента, когда будете вынуждены обучаться работе с Network Monitor в «боевых» условиях. Network Monitor и другие сетевые анализаторы независимых поставщиков программного обеспечения требуют экспертного отношения для быстрой локализации и разрешения проблем. Не теряя времени, возьмитесь за изучение Network Monitor и используйте его богатые возможности.
Экран 5. Установка фильтра просмотра трафика SMTP |
Ответы к примеру декодирования:
c3BhbW1lcg== spammer
cmVsYXk= relay
Ресурсы
Статьи Microsoft
Web-сайты
Dillfrog Base64 Encoder
Версии Network Monitor
Существует две версии Network Monitor: полная версия, которая поставляется вместе с Microsoft Systems Management Server (SMS), и облегченная версия, поставляемая вместе с Windows Server 2003, Windows 2000 Server и Windows NT Server 4.0. Облегченная версия содержит некоторое подмножество команд полной версии. В данной статье основное внимание будет уделено облегченной версии Network Monitor, поскольку большинство пользователей работает именно с ней. Версии Network Monitor имеют несколько отличий.
- Захват трафика. Наиболее существенные различия между версиями заключаются в типе сетевого трафика, который может быть перехвачен. Облегченная версия позволяет перехватить только широковещательный трафик и трафик, посылаемый или принимаемый со станции, на которой установлен Network Monitor. Полная версия может перехватывать весь трафик сегмента вне зависимости от источника или приемника передаваемых пакетов. Для коммутируемых сетей большинство серверов (и некоторая часть рабочих станций) подключены к выделенным коммутируемым портам. Это приводит к тому, что перехватить трафик из других сегментов становится сложнее, поскольку коммутаторы нередко изолируют сетевой трафик уровня 2 и 3 в тех сегментах, где два устройства обмениваются пакетами. Полная версия Network Monitor позволяет перехватить данные с удаленных агентов, установленных в разных сетевых сегментах. Это особенно удобно при поиске неисправностей в удаленном сегменте.
- Experts. Этот инструмент доступен только в полной версии. Он дает подробные разъяснения относительно перехваченного трафика и дешифрует пакеты.
- Find Routers. Это команда меню Tools, она доступна только в полной версии. С ее помощью можно идентифицировать IP-адреса сетевых маршрутизаторов.
- Resolve Addresses from Name. Это команда меню Tools, она доступна только в полной версии. Данная команда позволяет разрешить адреса по имени Fully Qualified Domain Name (FQDN).
Если необходимо выполнить мониторинг удаленных сегментов или нужна функциональность, отсутствующая в облегченной версии, стоит рассмотреть возможность приобретения SMS и получения полной версии Network Monitor. Или же можно рекомендовать приобрести сетевой монитор независимого поставщика программного обеспечения с поддержкой мониторинга удаленных сегментов. До того как коммутируемые сети стали популярными, было гораздо проще перехватывать сетевые данные, поскольку один и тот же сетевой сегмент использовался большим числом компьютеров. До появления коммутируемых сетей я использовал Network Monitor в основном для поиска «маяков» или неисправных сетевых карт, которые нарушали работу сети. Сегодня управляемые коммутаторы умеют выполнять эту функцию самостоятельно. Если используется управляемый коммутатор и есть подозрение на некорректную работу NIC или иного устройства, следует проверить статистику коммутатора и обратить внимание на порты, для которых выявлено большое число пакетов и/или ошибок. После того как идентифицирован потенциально неисправный порт, нужно запустить Network Monitor и перехватить сетевой трафик порта. Также можно по-прежнему использовать Network Monitor как традиционное средство перехвата пакетов для идентификации проблем соединения, контроля утилизации сети и мониторинга серверного сетевого трафика.
Алан Сугано (asugano@adscon.com) — президент компании ADS Consulting Group, специализирующейся на сетевых технологиях, программировании, проектировании
на базе Microsoft .NET и SQL Server.
To analyze network traffic, you need to use a
protocol analyzer such as Network Monitor. You can install Network
Monitor by using the Windows Components Wizard. This wizard is available
through the Welcome To Microsoft Windows Server 2003 screen or through
the Add Or Remove Programs tool in Control Panel.
Understanding Network Monitor
Network Monitor is a software-based traffic analysis tool that allows a user to perform these tasks:
-
Capture frames directly from the network
-
Display and filter captured frames, immediately after capture or at a later time
-
Edit captured frames and transmit them on the network (full version only)
-
Capture frames from a remote computer (full version only)
For example, as a
network administrator, you might use Network Monitor to diagnose
hardware and software problems when the server computer cannot
communicate with other computers. Frames captured by Network Monitor can
be saved to a file and reviewed for later analysis. Network application
developers can also use Network Monitor to monitor and debug network
applications as they are developed.
Note
A frame
is an encapsulation of layer 2, or network interface–layer, data. To
say that Network Monitor captures frames is to say that it reads and
displays encapsulations that include both network interface–layer data
(such as Ethernet data) and higher-layer data from protocols such as
Address Resolution Protocol (ARP), IP, Transmission Control Protocol
(TCP), and Domain Name System (DNS). Technically speaking, a frame is
distinct from a packet in that a packet is an encapsulation of layer 3, or internet-layer, data. However, these terms are often used interchangeably.
Two versions of
Network Monitor are available. The basic version is shipped with Windows
Server 2003, and the full version is shipped with Microsoft Systems
Management Server. Table 1 summarizes the differences between these two versions of the Network Monitor tool.
Table 1. Network Monitor Versions
| Function | Network Monitor (Basic) | Network Monitor (Full) |
|---|---|---|
| Local capturing | To and from only the computer running Network Monitor | All devices on the entire network segment |
| Remote capturing | Not available | Yes |
| Determining top user of network bandwidth | Not available | Yes |
| Determining which protocol consumes the most bandwidth | Not available | Yes |
| Determining which devices are routers | Not available | Yes |
| Resolving a device name into a Media Access Control (MAC) address | Not available | Yes |
| Editing and retransmitting network traffic | Not available | Yes |
Off the Record
In
theory, there’s a huge difference between the two versions of Network
Monitor: in the basic version, you can capture only the local computer’s
communication exchanges, and in the full version, you can capture
traffic exchanges among any computers on the entire network segment.
Sadly, however, this distinction really holds only for networks that use
hubs instead of switches to connect hosts. In reality, most modern
networks use switches, which forward frames only to the recipient
computer. Switches effectively limit the functionality of protocol
analyzers such as Network Monitor by screening out all traffic that is
not originating from or destined for the computer on which the protocol
analyzer is running. So if, like most others, your network is using
switches instead of hubs, you unfortunately won’t be able to experience
the supposedly enormous benefit of the full version.
Exploring Network Monitor Components
Network Monitor is
composed of an administrative tool called Network Monitor and an agent
called the Network Monitor Driver. Both components must be installed for
you to capture, display, and analyze network frames.
Using the Network Monitor Administrative Tool
You use Network Monitor to display the frames that a computer running Windows Server 2003 sends or receives.
To install Network Monitor, complete the following steps:
|
1. |
Open Add Or Remove Programs in Control Panel. |
|
2. |
In Add Or Remove Programs, click Add/Remove Windows Components to launch the Windows Components Wizard. |
|
3. |
On |
|
4. |
In the Management And Monitoring Tools window, select the Network Monitor Tools check box, and then click OK. |
|
5. |
In |
|
6. |
Click Finish when installation has completed. |
Installing the Network Monitor Driver
When you install
Network Monitor, the Network Monitor Driver is installed automatically
on the same computer. However, sometimes you need to install the Network
Monitor Driver without installing the Network Monitor tool itself. For
example, if a user of the full version of Network Monitor wants to
capture traffic from a remote Windows XP Professional computer, he or
she must install the Network Monitor Driver on that remote computer. You
can install the Network Monitor Driver only on computers running
Windows Server 2003, Microsoft Windows XP Professional, or Microsoft
Windows 2000.
You must be logged on as
Administrator or be a member of the Administrators group to complete
this procedure. If your computer is connected to a network, network
policy settings might also prevent you from completing this procedure.
To install the Network Monitor Driver, complete the following steps:
|
1. |
Open Network Connections. |
|
2. |
In |
|
3. |
In the Local Area Connection Properties dialog box, click Install. |
|
4. |
In the Select Network Component Type dialog box, click Protocol, and then click Add. |
|
5. |
In the Select Network Protocol dialog box, select Network Monitor Driver, and then click OK. |
|
6. |
If prompted for additional files, insert your Windows Server 2003 CD, or type a path to the network location of the files. |
Средства мониторинга производительности
Все больше средств на платформе Windows Server 2003 доступно для сбора и анализа данных системы и прогнозирования вычислительной мощности системы. Microsoft предоставляет некоторые полезные утилиты, встроенные в Windows Server 2003 или продаваемые как отдельные продукты, которые можно использовать для сбора и анализа данных. Сюда входят Task Manager (Диспетчер задач), Network Monitor (Сетевой монитор) и оснастка Performance (известная также под названием Performance Monitor), встроенные в эту операционную систему, а также Microsoft Operations Manager (MOM) и Systems Management Server (SMS), которые являются автономными продуктами. Данные, собранные из этих приложений, можно экспортировать для хранения и анализа в другие приложения, такие как Microsoft Excel или Access.
Task Manager
Windows Server 2003 Task Manager — многофункциональное средство. Оно позволяет вам следить за работой системы в реальном масштабе времени и видеть информацию о процессоре, памяти, приложениях и состоянии процессов. Вы можете переключаться на другие выполняемые приложения или процессы и можете легко прекращать работу задачи или процесса.
Чтобы приступить к использованию Task Manager, вы можете применить один из следующих трех способов.
- Щелкните правой кнопкой на панели задач и выберите Task Manager.
- Нажмите CTRL-SHIFT-ESC.
- Нажмите CTRL-ALT-DELETE и затем щелкните на Task Manager. При работе Task Manager появляется окно, показанное на рис. 16.1.
Рис.
16.1.
Окно Task Manager после начального запуска
Это окно содержит пять вкладок — Applications (Приложения), Processes (Процессы), Performance (Производительность), Networking (Сетевой обмен) и Users (Пользователи). Кроме того, внизу этого окна в панели состояния выводится количество выполняемых процессов и процент использования ЦП (CPU) и памяти.
Task Manager предоставляет полезную информацию о производительности в реальном масштабе времени, которая помогает вам определить, какие процессы или приложения являются проблематичными, а также дает вам общую картину состояния вашей системы. К сожалению, его ограничения, например, неспособность сохранения собранной информации о производительности, а также излишний охват возможностей мониторинга не позволяют использовать его как первое основное средство для оптимизации производительности. Более того, он может дать вам информацию, относящуюся только к локальной машине. Вы должны физически находиться за машиной, чтобы измерять ее производительность с помощью Task Manager.
Network Monitor
Имеются две версии Network Monitor, которые можно использовать для проверки производительности сети. Одна из них поставляется вместе с Windows Server 2003, и еще одна является компонентом SMS. Обе версии имеют одинаковый интерфейс, показанный на рис. 16.2, и содержат много функциональных компонентов, но существует несколько отличий в элементах, за которыми они следят.
Рис.
16.2.
Обе версии Network Monitor имеют похожий интерфейс
Network Monitor, встроенный в Windows Server 2003, предназначен для мониторинга сетевой активности только на локальной машине. По причинам безопасности вы не можете захватывать трафик на удаленных машинах. Network Monitor может, однако, захватывать все типы фреймов, входящие и исходящие на локальной машине.
Чтобы установить Network Monitor, выполните следующие шаги.
- Выберите Start/All Programs/Control Panel/Add or Remove Programs (Пуск/Все программы/Панель управления/Установка и удаление программ).
- Выберите Add or Remove Windows Components (Установка/Удаление компонентов Windows).
- Выделите Management and Monitoring Tools (Средства управления и мониторинга) и затем щелкните на кнопке Details (Подробно).
- Выберите Network Monitor Tools и затем щелкните на кнопке OK.
- Щелкните на кнопке Next и затем щелкните на кнопке Finish по окончании установки.
Чтобы использовать Network Monitor, просто выберите его в меню Start/ Administrative Tools.
SMS-версия Network Monitor по существу является улучшенной версией по сравнению со встроенной версией Windows Server 2003. Основным отличием является то, что SMS-версию можно запускать из любого места сети и использовать ее для мониторинга удаленных машин. В дополнение к мониторингу удаленных машин эта версия позволяет находить маршрутизаторы, представленные в сети, следить за трафиком, проходящим через сеть и выполнять разрешение (преобразование) адресов из имен.
Внимание. SMS-версия Network Monitor сопряжена с различными рисками безопасности из-за используемых методов мониторинга и привилегий. Она может следить за сетевым трафиком, входящим и исходящим на удаленных машинах. Любые конфиденциальные данные, которые перехватывает Network Monitor, могут быть потенциально раскрыты. Поэтому вы должны в обязательном порядке ограничить количество администраторов или сотрудников группы информационных систем, которые могут использовать эту версию Network Monitor.
SMS-версия Network Monitor больше соответствует целям оптимизации производительности, поскольку она позволяет следить одновременно за несколькими машинами из какой-либо центральной точки. Использование версии, встроенной в Windows Server 2003, ограничивает охват вашего мониторинга и сбора данных. Она также вынуждает устанавливать средства управления и мониторинга на каждой машине, где требуется мониторинг. Это предъявляет дополнительные требования к памяти и процессору каждой машины. Для оптимизации производительности и планирования мощности SMS-версия является превосходным средством для обеспечения анализа сети в реальном масштабе времени и ведения статистических журналов производительности сети, которые можно использовать для исследования состояния вашей сети.
Оснастка Performance
Оснастка консоли MMC (Microsoft Management Console) Performance — это наиболее употребительное средство мониторинга производительности, поскольку оно связано с операционной системой и позволяет вам следить за каждым объектом системы, который можно измерять, используя связанные с ним счетчики. Оснастка Performance содержит два средства: System Monitor (Системный монитор) и Performance Logs and Alerts (Журналы производительности и оповещения). Оснастка Performance находится в группе Administrative Tools меню Start. На рис. 16.3 показано начальное окно System Monitor.
Рис.
16.3.
Начальное окно оснастки Performance
Оснастка Performance является превосходным средством, поскольку она позволяет анализировать данные с помощью графиков, отчетов и журналов, которые вы можете сохранять для последующего исследования. В этой лекции предполагается, что вы будете использовать оснастку Performance как свое средство оптимизации производительности, поскольку оно доступно всем, кто работает с Windows Server 2003, и его принципы можно применять к другим утилитам.
Графическое представление производительности с помощью System Monitor
С помощью System Monitor можно следить за статистикой счетчиков в реальном масштабе времени. Результаты сбора данных представляются в виде гистограммы (столбиковой диаграммы) или графика. Графический формат используется как формат по умолчанию для System Monitor, и он похож на электрокардиограмму, используемую для мониторинга работы сердца. Графический формат, который вы используете определяется в основном предпочтениями персонала. Вы можете решить, что один формат больше подходит для просмотра вашей системы, чем другие.
Чтобы добавить счетчики для просмотра в реальном масштабе времени после открытия оснастки Performance из меню Start/Administrative Tools, выполните следующие шаги.
- Проследите, чтобы в левой панели был выделен System Monitor, и затем щелкните на кнопке + в правой панели, чтобы добавить счетчики к этому монитору.
- Если вам нужен мониторинг удаленной машины, введите UNC-имя этого компьютера в окне Add Counters (Добавление счетчиков).
- Выберите объект, за которым хотите следить.
- Выберите нужные счетчики в этом объекте; вы можете также использовать вариант All Counters (Все счетчики), чтобы выбрать все счетчики для данного объекта.
Примечание. Если вы не уверены, что нужно добавить определенный счетчик, щелкните на кнопке Explain (Пояснения), чтобы получить описание этого счетчика.
- Щелкните на кнопке Add, чтобы добавить счетчик к своей схеме мониторинга.
- Добавьте другие счетчики, если это нужно.
- По окончании щелкните на кнопке Close.
Примечание. Вы можете выделить отдельный счетчик, выбрав этот счетчик и нажав CTRL-H. Теперь в System Monitor имеется более простой способ: просто выберите нужный вам счетчик и щелкните на кнопке выделения в правой панели. Это поможет вам отличать данный счетчик от остальных счетчиков.
Переключение между видами представления.По умолчанию для System Monitor используется графический формат (Graph view). Но вы можете легко переходить к просмотру в виде гистограммы (Histogram view) или в виде отчета (Report view). Используя панель кнопок, вы можете выбирать между этими форматами. Например, вы можете щелкнуть на кнопке View Report (Просмотр отчета) для просмотра данных в реальном масштабе времени (см. рис. 16.4).
Рис.
16.4.
Просмотр данных в реальном масштабе времени в формате отчета Performance Logs and Alerts
Служба Performance Logs and Alerts используется в сочетании с System Monitor. Она сохраняет собираемые данные в файле данных (файле журнала). Эти данные не предназначены для просмотра в реальном масштабе времени, поэтому вы получаете представление производительности в течение определенного периода времени. Это предпочтительный метод для оптимизации производительности, поскольку он упрощает интерпретацию трендов или характеристик в производительности системы. Он дает также механизм для сохранения данных в подходящем формате для будущего исследования. Вы можете использовать System Monitor для представления сохраненных данных производительности или можете легко экспортировать данные в другие приложения.
Примечание. Поскольку Performance Logs and Alerts запускается как служба, вам не обязательно выполнять вход, чтобы происходил сбор статистики для данной системы.
Performance Logs and Alerts выполняет три функции: мониторинг счетчиков, сбор данных трассировки событий и обеспечение механизма оповещений. Чтобы увидеть эти три функции, раскройте Performance Logs and Alerts в оснастке Performance.
Network Monitor is a utility that allows the monitoring of network traffic between machines. The Network Monitor is an essential troubleshooting tool for diagnosing network performance and protocol problems. The Network Monitor provided with Windows 2003 only allows viewing traffic to and from the local machine. The Network Monitor on the Windows 2003 Resource Kit allows monitoring of all parts of the network.
Use the buttons below to navigate through the lesson
To install Network Monitor, Open the Add/Remove programs wizard and Click on Add/Remove Windows Components. Highlight Management and Monitoring Tools. Then click Details.
Tick the Network Monitor Tools check box. Then click OK.
Installation of the components will then begin. Click Finish to complete the installation of Network Monitor.
Once installed, the facility can be called. Click on Start button. Highlight Administrative Tools. Click on Network Monitor.
Click on OK to select the network. Select Local Area Connection. Click on OK to start monitoring. Network Monitor now opens.
Click on Capture. Click on Start to monitor network traffic.
From a different computer on the same network a message is sent using the net send command.
Click on OK to acknowledge the message has been received.
Click on Stop to end Network Monitoring.
To view the report of network activity click on Display Captured Data.
Once the data is displayed three different panes can be viewed together (as shown) or separately by activating the different buttons on the toolbar.
The Summary Pane gives an account of each packet collected.
The Detail Pane gives a review of the highlighted frame from the Summary Pane.
The Hex Pane shows the data inside the packets e.g.the mac address and the message itself.
Amongst other things, this highlights the need for encryption of sensitive data over a network. Plaintext passwords, for example, can be easily read.
Windows Server 2003 comes with a tool called Network Monitor that is used to perform network communications traffic analysis. Network Monitor, also known as Netmon, provides network utilization statistics and packet traffic as well as captures frames for analysis.
Note
In addition to the Network Monitor, as well as some of the tools already mentioned, such as EventCombMT and Checkrepl.vbs, There are other utilities in the Windows Server 2003 Resource Kit that can assist in analyzing and diagnosing network-related functions. Two tools, called the Link Check Wizard and Chknic, should be added to your arsenal especially for troubleshooting purposes.
Data is transferred all the time from one point to another in the form of network traffic that is divided into frames. A frame contains information such as the address of the machine to which it is destined, the source address, and protocols that exist within the frame. Besides having bottlenecks on the server, bottlenecks can also occur on the network when it is overwhelmed. For example, a network adapter can fail and flood the network with invalid network transmissions that can slow down the rate of data transfer between other devices on the network. When the network becomes slow, the network can be said to have reduced available network bandwidth.
Netmon can be viewed as both a network troubleshooting tool and a packet analysis tool. The version of Netmon that comes with Windows Server 2003 allows only the capture of frames sent to and from your local server. The full-featured version of Network Monitor that provides enterprisewide network monitoring, allowing network traffic to be monitored or analyzed to and from any computer in the network, can be found in the Microsoft Systems Management Server (SMS).
Understanding How Netmon Works
All computers on a network segment can receive and send frames within their segments. Network adapters on these computers process only frames meant for them; they discard all frames not addressed to them. These network adapters also retain broadcast and multicast frames.
After Netmon is installed, you can capture to a file all the frames sent to or retained by the adapter on which Netmon was installed. These captured frames can then be used for later analysis. It is possible to set up a capture filter so that only certain frames are captured. Frames can be filtered based on criteria such as source address, destination address, type of information captured, or the like. Capture triggers can also be set up to initiate certain actions such as starting a program, starting a capture, or ending a capture based on a specific event occurring on the network.
Installing Netmon
Before Netmon can be used, it must be installed from the Control Panel. To install Netmon, follow these steps:
|
1. |
Open the Control Panel. |
|
2. |
Click Add or Remove Programs. |
|
3. |
Click Add/Remove Windows Components to open the Windows Components Wizard. |
|
4. |
Select Management and Monitoring Tools and click Details. |
|
5. |
Check Network Monitor Tools and then click OK. |
|
6. |
Click Next and if prompted for additional files, insert the installation CD. |
|
7. |
Click Finish at the end of the installation. |
Go to the Administrative Tools and select Network Monitor to open the utility. After Netmon is loaded, you can capture all frames sent to or retained by the network adapter of the machine on which it is installed. These captured frames can then be saved or viewed for further analysis.
The Netmon application, shown in Figure 34.10, provides several types of information. The capture window display is divided into three parts: system statistics, network and captured statistics, and station statistics.
Figure 34.10. The Network Monitor console.
In the upper-left pane is the Netmon graph. It shows current activities on the network in a horizontal bar-like fashion. The Total Statistics pane located in the upper right displays the total network activity detected since a capture began. The Session pane located in the lower left shows the established session between two nodes. The Station Statistics pane located in the bottom pane shows statistics about frames sent and received on a per-node basis. The Station Statistics pane has several fields such as Frames and Bytes Sent and Received, Directed Frames Sent, Multicasts Sent, Broadcasts Sent, and the network (local server) responsible for the traffic. The Station Statistics pane can also help you identify the largest broadcaster in a network; to do so, right-click the Broadcasts Sent column and then click the Sort button.
Capturing Frames Within Netmon
Before you start capturing frames, make sure to select a network adapter from the Capture menu (typically the primary network adapter of the system being monitored). Also select buffer settings from the Capture menu. To begin capturing, click the Start Capture button (it looks like a play button on a cassette tape recorder). Alternatively, press the F10 key. Capture will proceed to fill the memory with frames until it is full, so capture only the frames needed and over a short duration of time. This decreases the effect that Network Monitor will have on the performance of the server being monitored. To stop, pause, or display captured data from the Capture menu, simply select Stop, Pause, or Display Captured Data. You also can stop and display the capture by clicking Stop and View. To save a captured frame for future analysis, select File, Save As and specify a path and filename to store the captured frame.
To set a capture trigger, select Capture, Trigger to open a property page similar to the one shown in Figure 34.11. On the Capture Trigger property page, select Pattern Match to initiate a trigger action when a specific hexadecimal or ASCII string appears in a frame. In the Pattern text box, type a string and specify ASCII or Hex. It is possible to have an action occur whenever there is a trigger. To do so, select Audible Signal Only to have the machine beep, select Stop Capture to stop the capture, or check Execute Command Line and specify the command or program that runs when a trigger occurs.
Figure 34.11. The Capture Trigger property page.
To initiate a trigger based on the size of the buffer, select Buffer Space and then choose the percentage. It is also possible to have an action occur whenever there is a trigger. To initiate a trigger when a specific pattern in a frame is detected, select Buffer Space Then Pattern Match and specify the percentage and pattern needed.
Using the Capture Filter
Filtering can help reduce the amount of data being reviewed and analyzed. A capture filter can be specified based on addresses, protocols, and frame data patterns. To set up a filter, select File, Capture, Filter.
To capture data based on specified frame data patterns, double-click the AND (Pattern Matches) line in the Capture Filter decision tree and then specify the hexadecimal or ASCII data pattern that captured frames should match.
To specify captured filters based on address pairs similar to the ones shown in Figure 34.12, double-click the AND (Address Pairs) line in the decision tree or double-click the address pair to edit. In the Address Expression dialog box, specify address pair properties, and then click OK.
Figure 34.12. Selecting address pairs on the capture filter.
Captured data can be displayed by selecting File, Capture, Display Captured Data. You’ll see a summary page similar to the one shown in Figure 34.13. The captured data displays the frame, time duration, source MAC address, destination MAC address, protocol, and so on.
Figure 34.13. The Capture summary page.
Note
In a capture filter, the EXCLUDE statement takes precedence over the INCLUDE statement regardless of the order in which statements appear in the Capture Filter property page. If a filter contains both the INCLUDE and EXCLUDE statements, the frame is discarded if it meets the criteria specified in the EXCLUDE statement. Network Monitor does not check whether the frame meets the INCLUDE statement criteria.