Для перегляду й аналізу записаних даних виконаєте наступні дії:
виконаєте сеанс, використовуючи IP-адреси відправника і приймача і номера портів;
при виявленні скидань зверніть увагу на порядкові номери і підтвердження, що їм передують;
за допомогою калькулятора визначите підтвердження, що погодяться
с посланими даними;
Спробуйте зрозуміти активність, що ви бачите. Вам треба установити:
чи повторює відправник спроби. Якщо так, звернете увагу на номери спроб і минуле час. Стандартне число спроб для протоколу TCP/IP дорівнює 5. Для інших протоколів це значення може відрізнятися;
чи відновлює і чи посилає заново відправник попередній пакет;
чи запитує одержувач відсутній кадр, подтверждаючи попередній порядковий номер?
Скидання можуть бути викликані тайм-аутами на рівні TCP чи тайм-аутами протоколів більш високого рівня. Скидання на рівні TCP легко побачити в трасуванні; складніше знайти їхню причину, що виникає в протоколах більш високого рівня, таких, як SMB.
Наприклад, тайм-аут SMB-читання іноді триває 45 секунд і викликає скидання сесії, навіть якщо з'єднання працює на рівні TCP. За допомогою трасування удається визначити компонент, де відбувається сбой, тому, щоб визначити проблему, у деяких випадках вимагаються інші методи виявлення неполадок.
Щоб побачити послідовність TCP при наявності протоколу більш високого рівня, запустите Network Monitor, відкрийте діалогове вікно Expression (Вираження) (Рис . 4-4) і виконаєте наступний практикум.
Рис. 2.6 Діалогове вікно Expression
Практикум: запис кадрів за допомогою Network Monitor
Утиліта Network Monitor записує мережні кадри з потоків даних у мережі і копіює їх у тимчасовий файл. Використовуйте Network Monitor для динамічного відображення статистики записаних кадрів у вікні Capture і настроювання фільтра запису для добору кадрів, що задовольняють визначеному критерію.
Завдання: переглянете послідовність tcp
Запустите Network Monitor.
Переглянете записані дані.
У меню Display (Відображення) виберіть команду Options (Параметри).
Виберіть Auto (based on protocols in the display filter) [Авто (на базі протоколів фільтра відображення)] і клацніть ОК.
У меню Display виберіть команду Filter (Фільтр).
Клацніть два рази рядок Protocol=Any.
На вкладці Protocol клацніть кнопку Disable All (Відключити усі).
У списку Disabled Protocols (Відключені протоколи) виберіть TCP.
9. Клацніть кнопку Enable (Уключити), а потім — ОК.
У меню Capture (Запис) виберіть команду Start (Запустити).
Продуктивність Network Monitor
Для буфера запису утиліта Network Monitor створює файл, проецируемый у пам'ять. Щоб умістити необхідний трафик, буфер запису повинний мати достатній обсяг. Крім того, щоб зменшити витрати ОЗУ, у буфері варто зберігати тільки частина кадру. Наприклад, якщо потрібно записувати дані тільки з заголовка кадру, скоротите розмір кадру (у байтах) до розміру заголовка. Network Monitor відкине непотрібні дані, ощадливо використовуючи ОЗУ.
Виявлення Network Monitor
З метою запобігання вашої мережі від несанкціонованого моніторингу Network Monitor виявляє інші свої екземпляри, що працюють у локальному сегменті мережі. При виявленні іншого Network Monitor видається наступна інформація:
ім'я комп'ютера;
ім'я користувача даного комп'ютера;
стан Network Monitor на вилученому комп'ютері (запущений чи записує передає);
адреса адаптера вилученого комп'ютера;
версія Network Monitor на вилученому комп'ютері.
Іноді архітектура мережі не дозволяє знайти інші утиліт Network Monitor. Наприклад, неможливо знайти інший Netwoi Monitor, якщо він відділений від вашого маршрутизатором, що t. перенаправляє широкомовні розсилання.
Утиліта Network Monitor використовується для моніторингу потоку зайвих даних, тобто всієї інформації, що проходить через мережу в будь-який момент часу. Фільтри відображення визначають кадри, котрі повинні бути відображені. Щоб настроїти фільтр запису, необхідно задати умови в діалоговому вікні Capture Filter (Фільтр запису). Записані мережні дані можна переглянути засобами користувальницького інтерфейсу утиліти Network Monitor. Щоб умістити необхідний трафик, буфер запису повинний мати достатній обсяг.