Комп’ютерні мережі. Аналіз роботи і оптимізація (стр. 4 из 10)

2.3.1 Засоби і способи визначення швидкодії мережі

Простим способом визначити швидкодію мережі є використання експерта середнього часу відповіді сервера, наявного в Netmon 2.0. Перш ніж використати експерта, необхідно перехопити деякий об'єм трафіку між сервером і клієнтською машиною, для цього необхідно сконфігорувати фільтр перехоплення, який ізолює трафік між робочою станцією і даним сервером. Це повинно бути зроблено після перевірки робочої станції на те, скільки в ній відкрито додатків, скільки є вільного простору на диску для віртуальної пам'яті, і т.д. Коли будуть виключені всі можливі проблеми робочої станції, можна починати перехоплення даних[1].

2.3.2 Виявлення джерела впливу на швидкодію мережі

Для аналізу швидкодії необхідно завантажити перехоплений файл в Netmon 2.0 і сконфігорувати експерт часу відповіді (рис.2.2). Конфігурація експерта є дуже важливою для отримання точних результатів. Якщо, наприклад, користувач скаржиться, що повільно працює пошта РОРЗ, то необхідно додати до експерта порт 110.

Змінюючи конфігураційні файли, експерт може повідомити про більшість додатків, що виконуються в мережі. Якщо видалити всі порти, окрім порту даної програми, будуть отримані різні показники продуктивності. Використання Netmon 2.0 в цій області майже не обмежене.

Рис. 2.2. Експерт середнього часу відповіді сервера.

Експерт створює звіт, перелічуючи IP-адреси і середній час відповіді в секундах, як показано на рис.2.3. Якщо результати відповідають базовим показникам, можливо, доведеться знову аналізувати робочу станцію і роботу певного користувача. Якщо вони дійсно повільні, то трасування вимагатиме додаткового аналізу. Звіт розподілу протоколів, звіт верхніх користувачів і експерт пересилки TCP можуть надати цінну допомогу при пошуку причини повільної роботи мережі. Крім перегляду на екрані звіти можна зберегти як текстові файли і роздрукувати або перетворити на файли інших форматів, наприклад файли MicrosoftWord[7].

2.4 Причини помилок у журналі подій

Іноді у журналі виникають помилки подій. Однією з них є подія ID 2000, яка говорить Status_no_such_file. Ця подія відбувається, коли мережевий додаток посилає команду видалення файла на загальний диск, а файл вже був видалений. Тобто, в другому рядку розділу даних повідомлення про помилку буде c000000f, яке відповідає Status_no_such_file.

2.4.1 Метод пошуку серверних проблем

Ця проблема пов'язана з SMB. Спочатку потрібно розглянути файл перехоплення. Для спрощення створюється фільтр виводу, який показує тільки команди SMB для видалення файлу. На рис.2.4 показано, як створюється цей фільтр виводу. Знаходячись в режимі виводу, вибирається фільтр з меню виводу (display), після подвійного клацання по рядку протоколу з'являється діалогове вікно вибору, де відключаються всі протоколи. Наступним кроком потрібно вибрати SMB із списку протоколів в правій панелі діалогового вікна, а потім клацнути по кнопці включити (enable). Далі перейти в розділ "S" списку протоколів. Це можна зробити активізувавши на панелі меню "name" і введення "S". В наслідок цього відбудеться переміщення в розділ "S", дозволяючи швидко знайти протокол SMB. Коли протокол SMB буде включений, потрібно знайти команду SMBdelete. Щоб це зробити, потрібно вибрати закладку "property" і в ній знайти протокол SMB. Клацнувши на знаку "плюс" поряд з SMB, з'явиться список властивостей протоколу, серед яких потрібно вибрати "command" із діалогово вікна. Коли "command" буде вибрано, появиться список значень. У списку значень потрібно вибрати "deletefile" і потім натиснути "ok". Цей фільтр виводу показує команди "SMBdelete" будь-якого комп’ютера[6].

При перегляді кадрів "SMBdelete" потрібно знайти повідомлення про помилку. Розглянемо взаємодію. Клієнтська машина посилає на сервер команду "Cdeletefile". Параметри включають розміщення файлу.

Відповідь з сервера повертається в наступному кадрі який представлений в роздруківці нижче. В ньому команда "Rdeletefile" з повідомленням про відсутність помилок. Фай успішно видалений з сервера.

В першому файлі перехоплених даних проблема не локалізована. Для того щоб знайти помилку необхідно, створити фільтр перехоплення, що перехоплюватиме тільки один тип пакетів. Щоб отримати необхідну інформацію, яка показана на рис. 2.5, необхідно знайти шаблон, який вказує команду "SMBdelete". Як можна побачити з рис.2.6, вибір в панелі виводу командного рядка SMB виводить число 06 в шістнадцятковій панелі в рядку зсуву 03. У рядку статусу Netmon в нижньому правому кутку, точний зсув рівний Зе в шістнадцятковому вигляді. Тепер є зсув і шаблон для фільтру перехоплення команди "deleteSMB".

2.4.2 Фільтр перехоплення, та його використання

Виконання програми Netmon можна спланувати за допомогоюкоманди AT яка вводиться у консолі cmd. Оскільки використовується спеціалізований фільтр перехоплення задопомогою якого можна визначити достатньо великий буфер перехоплення, то йому необхідно задати виконання протягом достатньо довгого періоду часу.

Використання фільтру перехоплення

Netmon /autostart /buffersize 1024000 /capturefilter с:/smbdelete.cf /autostop

Приведений вище текст команди необхідно ввести у текстовий редактор і зберегти як файл .bat. Для автоматизації процесу необхідно використати службу "Планувальник завдань".

На рис.2.7 зображено використання служби "Планувальник завдань" для автоматизації сеансу Netmon. Необхідно запустити службу планувальника, використовуючи аплет служби в панелі управління, у вікні CMDввести необхідну команду AT. В даному випадку планувальник виконуватиме файл .bat з понеділка до п'ятниці в 5:00 після обіду. Приведений вище файл .bat виконуватиметься, поки буфер не заповниться, і потім зупиниться.

Виконуючи автоматичний сеанс Netmon під час прояву серверної проблеми, є можливість знайти неправильно працюючу програму, яка намагається повторно видалити вже видалений файл.

Ретельно створений фільтр перехоплення полегшує знаходження проблемної програми. При виявлені повідомлення про помилку, фільтр покаже, яка програма виконувалася в даний час. Крім того, можна включити перегляд часу при відкритті файлу перехоплення і точно побачити, який кадр відповідає певному повідомленню про помилку в переглядачі подій [6].

2.5 Проблеми що виникають при широкомовленні

Широкомовлення завжди є хорошим об'єктом для моніторингу, оскільки примушує всі машини в підмережі проглядати кадр. Це створює зайву роботу для багатьох машин. Крім того, коли виникає надмірна кількість широкомовних запитів, це створює руйнівний вплив на мережу.

При розгляді трафіку широкомовлення перший крок полягає в створенні фільтру виводу широкомовлення, що вибирає всі широкомовні повідомлення у вікні фільтру виводу, після цього перевірка широкомовних повідомлень достатньо прямолінійна. Якщо виникає широкомовний запит, як на рис.2.8, його легко виявити. Найбільш активному користувачеві звіт може дати уявлення про те, як він впливає на мережу. З рис.2.8 видно що один користувач використовує велику частину трафіку у мережі.

Наступний пакет ARPпоказує IP-адресу і MAC адресу машини, яка викликає надмірне широкомовлення .

Для отримання імені користувача можна виконати наступні команди:

· використати ping –a 10.0.0.163 для отримання імені хосту;

· використати arp –aдля виведення кешу ARP;

· використати nbtstart –a 10.0.0.163 для отримання таблиці іменNetBIOS віддаленої машини.

Для усунення надмірного широкомовлення необхідно дослідити машину і перевірити, яке програмне забезпечення встановлено, які протоколи завантажено, а також вид використовуваного мережевого адаптера. Також, необхідно подивитися, чи існують оновлення для будь-якого з цих об'єктів, драйверів, перевірити оновлення вбудованих програм самого комп'ютера.

Визначивши, коли виникла проблема, можна дізнатись про те, яке програмне забезпечення було додане, видалене або оновлене, тобто що викликало проблему [2].

Розділ ІІІ. Методи захисту від несанкціонованого доступу в мережі TCP/IP

3.1 Безпека комп’ютерів на базі Windows 2000/XP

3.1.1Сканування мережіTCP/IP

Метою сканування є визначення IP-адрес хостів мережі, що атакуються, і для виконання сканування можна скористатися утилітою ping. На рис.3.1 представлений результат сканування утилітою ping хостуSword-2000.

Із результату видно, що комп’ютер завказаною адресою підключенийдо мережііз’єднання працює нормально. Ценайпростішийспосіб сканування мережі, од­нак, він не завжди при­водитьдопотрібного резуль­тату, оскількибагато вузлів блокують зворотню відправку пакетів ICMP за допомогою спеціальних засобів захисту.

Якщо обмін даними за протоколом ICMP заблокований, хакерами можуть бути використані інші утиліти, наприклад, hping. Ця утиліта здатна фрагментувати (тобто ділити на фрагменти) пакети ICMP, що дозволяє обходити прості пристрої блокування доступу, які не роблять зворотну збірку фрагментованихпакетів [9].

Інший спосіб обходу блокування доступу – сканування за допомогою утиліт, що дозволяють визначити відкриті порти комп'ютера. Прикладом такої утиліти є SuperScan, яка надає користувачам зручний графічний інтерфейс (див рис.3.2).

На рис. 3.2 приведений результат сканування мережі в діапазоні IP-адрес 1.0.0.1-1.0.0.7. Деревовидний список в нижній частині вікна відображає список всіх відкритих портів комп'ютера Sword-2000 середяких TCP-порт 139 сеансів NETBIOS. Запам'ятавши це, перейдемо до детальнішого дослідження мережі – доїї інвентаризації .

3.1.2 Інвентаризація мережі

Інвентаризація мережі полягає у визначенні загальних мережевих ресурсів, облікових записів користувачів і груп, а також у виявленні програм, що виконуються на мережевих хостах. При цьому хакери дуже часто використовують наступний недолік комп'ютерів Windows NT/2000/XP – можливістьстворення нульового сеансу NETBIOS з портом 139.