Обучаващ се мрежов монитор
Обучаващ се мрежов монитор. част 4
В предишната част на тази статия ви показах как да филтрирате данни, заснети с помощта на Network Monitor, така че да се показват само взаимодействията между компютрите, от които се нуждаете. Филтрирането на взаимодействия между компютри, които не ни интересуват, е само началният етап, т.к. заснетият файл все още съдържа много боклук, който трябва да бъде сортиран, за да получим информацията, която ни интересува. Например в нашия пример изпълнихме командата ping срещу друг компютър в мрежата. Стандартната команда PING обикновено генерира дванадесет пакета данни. Ако погледнете фигура A, ще видите, че дори след филтриране на взаимодействията между други компютри, виждаме повече от дванадесет пакета.
Най-странното в това улавяне е, че се случи в рамките на пет до шест секунди. Можете само да си представите колко пакета ще бъдат уловени за по-дълъг период от време или ако мрежата е по-натоварена, което е много вероятно в реална ситуация.
За щастие има няколко други неща, които ще ви позволят да се отървете от ненужната информация. В този конкретен случай ние се интересуваме от откриването на пакетите, които са свързани с командата PING. Всеки път, когато подадете команда PING, операционната система Windows извиква ICMP протокола. Следователно можем да настроим филтър така, че да се показват само ICMP пакети.
Не забравяйте, че вече сме филтрирали получената информация по такъв начин, че да видим взаимодействието между интересуващите ни компютри. Какво следва да филтрираме нашата информацияпротокол, щракнете върху иконата Филтър (иконата, която изглежда като фуния). След това ще видите диалоговия прозорец за филтър на дисплея, показан наФигура B.
За да филтрирате по протокол, изберете реда Protocol==Any (всеки протокол), щракнете върху бутона Edit Expression (Този бутон ще се появи на мястото на бутона Change Operator, който е показан на фигурата). След това ще видите прозорец, подобен наФигура C. Както можете да видите от фигурата, прозорецът съдържа списък на всички протоколи, за които Network Monitor знае, както и кратко описание на всеки протокол.
За да създадете филтър, просто щракнете върху бутона Деактивиране на всички. В резултат на това действие всички протоколи от списъка с активирани протоколи (активирани протоколи) ще се преместят в списъка с деактивирани протоколи (деактивирани протоколи). Сега в списъка с деактивирани протоколи (Disabled Protocols) намерете ICMP протокола. Изберете ICMP протокола и щракнете върху бутона Разреши. След това ICMP протоколът ще бъде включен в списъка с активирани протоколи (Enabled Protocols). Щракнете върху бутона OK два пъти и вашето улавяне ще бъде филтрирано и ще се покажат само пакетите, които ви интересуват, както е показано наФигура D.
Техниката, която току-що ви показах, работи чудесно, ако знаете точно какъв протокол ви интересува. Но понякога тиможе да искате да получите общ поглед върху това, което се случва между два компютъра, така че може да не знаете предварително кои протоколи участват във взаимодействието. Дори за такива ситуации можете да използвате техники за филтриране на ненужната информация.
Техниката, за която искам да ви разкажа, е почти толкова ефективна, колкото тази, която току-що видяхте, но я използвам в реалния живот. Идеята зад тази техника е да се филтрират нежеланите пакети един по един. Преди да опиша как работи тази техника, искам да спомена, че критериите за класифициране на пакет като боклук варират значително от един случай до друг. Колкото повече подробности искате да разгледате заснетия файл, толкова по-малко пакети ще искате да филтрирате. От друга страна, ако просто искате да получите обща представа какво се случва, тогава трябва да оставите само няколко пакета.
Както видяхте, ние използвахме компютър, наречен FUBAR, за PING на сървър, наречен TAZMANIA. Да приемем, че знаем, че тези два компютъра комуникират, но не знаем, че ICMP се използва за командата PING.
В такава ситуация първото нещо, което правим, е да филтрираме уловените пакети по такъв начин, че да отрежем всички останали пакети, които не са свързани с взаимодействието между двата компютъра, които ни интересуват. За да направим това, ще използваме същата техника, която използвахме в третата част на тази статия, и резултатът от нейното използване ще изглежда както е показано наФигура A.
Когато знаехме, че се интересуваме само от ICMP пакети, използвахме филтър, за да отрежем всички пакети с изключение на ICMP пакетите. В този случай ще направим обратното. ВместоЗа да премахнем всички протоколи, с изключение на този, който ни интересува, първоначално ще оставим всички протоколи активирани, а след това ще премахнем отделни протоколи, тъй като разбираме, че не ни интересуват.
Ако погледнетеФигура A, ще видите, че най-често използваният протокол е TCP протоколът. TCP/IP протоколът има тенденция да фрагментира данните. Много често, ако видите TCP пакет, това е фрагмент от нещо, останало от предишния кадър. Ако искам да получа обща представа какво се случва, първото нещо, което трябва да направя, е да филтрирам TCP пакетите.
Трябва също да щракнете върху иконата на филтъра, за да получите достъп до диалоговия прозорец Филтър на дисплея. Щракнете върху Protocol==Any line и щракнете върху бутона Edit Expression. Изберете TCP протокола и щракнете върху бутона Изключване. За съжаление, поради грешка в текущата версия на Network Monitor, нещата не работят както трябва. Като заобиколно решение създадох списък с протоколи, използвани за улавяне. След това деактивирах всички протоколи, но активирах протоколите, които бяха използвани за заснемането. След това мога да изключа протоколите, ако смятам, че не са подходящи за това, което ме интересува. Например, ако сравнитеФигура E сФигура A, можете да видите колко е намален списъкът, след като филтрирах TCP протокола.
Заключение
В тази статия ви показах две различни техники за изолиране на това, от което се нуждаете.пакети. В част 5 ще продължа моята история и ще ви покажа как да извличате данни от отделни заснети кадри.
Автор: Brien Posey Източник: www.netdocs.ru