- •Курсовая работа
- •2015 Оглавление.
- •Введение.
- •1. Журнал событий Windows 2008.
- •1.1. Подписки на события.
- •1.2. Журналы.
- •1.3. Фильтры.
- •1.4. Реагируем на события.
- •1.5. Построение отчетов.
- •2. Просмотр пакетов и взаимосвязей сетевого трафика с помощью сетевого анализатора Microsoft.
- •2.1. Установка Network Monitor.
- •2.2. Запуск Network Monitor.
- •2.3. Гистограммы использования сети.
- •2.4. Сетевые соединения.
- •2.5. Сетевые статистики.
- •2.6. Подробная информация о пакете.
- •2.7. Отображение перехваченных пакетов.
- •2.8. Настройка фильтров просмотра.
- •2.9. Основы сессии tcp/ip.
- •2.10. Чтение пакетов.
- •2.11. Наблюдение за флагами.
- •2.12. Номера портов.
- •2.13. Повторные передачи пакетов.
- •2.14. Network Monitor как средство противодействия auth Attack.
- •Заключение.
- •Литература.
2.1. Установка Network Monitor.
Для того чтобы воспользоваться монитором на сервере, на котором установлен Network Monitor или SMS, необходима сетевая карта, которая поддерживает смешанный режим (так называемый promiscuous mode — состояние, в котором сетевой адаптер обнаруживает в сети все фреймы вне зависимости от их конечного адреса; данный режим поддерживает большинство сетевых адаптеров). При установке Windows Server 2003 и Windows 2000 Server Network Monitor устанавливается только в том случае, если вы явно это указали. Чтобы установить Network Monitor, входящий в состав Windows 2003 и Windows 2000 Server, нужно выполнить следующие действия.
Открыть Control Panel (Start, Settings, Control Panel).
Дважды щелкнуть Add or Remove Programs.
Щелкнуть Add/Remove Windows Components.
Щелкнуть Management and Monitoring Tools, затем Details.
Установить флажок Network Monitor Tools и щелкнуть ОК.
2.2. Запуск Network Monitor.
Как только Network Monitor установлен, его можно запускать. Следует щелкнуть Start, Programs, Administrative Tools, Network Monitor. Можно также запустить Network Monitor с командной строки или использовать командный файл. На экране появится начальный экран Network Monitor. Чтобы инициировать захват пакетов, щелкните кнопку Capture. Начнется перехват сетевых пакетов, и окно Network Monitor будет выглядеть примерно так, как показано на Рисунке 3. Как мы видим, основное окно Network Monitor состоит из четырех областей, в которых отображается информация различного типа.
2.3. Гистограммы использования сети.
Первая область (отмечена цифрой 1 красного цвета) содержит гистограммы, отображающие статистические данные о трафике сервера. Первая полоса — % Network Utilization — самая важная. Если сервер принадлежит сегменту, к которому подключены другие компьютеры, и значение сетевой нагрузки значительно превышает 35%, возможно, сеть станет для данного сервера узким местом. Ethernet использует протокол Carrier Sensing Multiple Access with Collision (CSMA/CD) с обнаружением коллизий. В некоммутируемом Ethernet при сетевой нагрузке свыше 35% число коллизий слишком велико, и это катастрофически снижает производительность. Если придется столкнуться с высокой сетевой загрузкой, следует рассмотреть возможность использования коммутируемого Ethernet для повышения производительности.
Если сервер подключен к выделенному порту коммутатора, сетевая утилизация может быть гораздо выше 35%, при этом задержек по сети не наблюдается. Но если утилизация сети достигает 80%, стоит рассмотреть вопрос об использовании адаптера с двумя портами или перейти на Gigabit Ethernet или 10 Gigabit Ethernet. Если доля широковещательных или групповых пакетов или того и другого слишком велика (более 50% в секунду), вероятно, в сети имеется неисправный сетевой адаптер, выставляющий «маяки», или же просто слишком многие компьютеры выдают широковещательные запросы. Неплохо было бы собирать статистику о сетевом трафике до того, как проблема возникла, тогда в случае инцидента у администратора уже была бы история наблюдений и базовые показатели, относительно которых можно проводить исследование текущего сетевого трафика.
Рисунок 4. Основное окно Network Monitor |