Моніторинг мережевої активності
Системи сімейства Windows Server дозволяють здійснювати моніторинг мережевої активності на низькому рівні - на рівні мережевих фреймів, надісланих та отриманих мережевимиадаптерами комп'ютера. Для виконання цього завдання служить компонента системи "Монітор" (Network Monitor). Правда, штатна компонента "Монітор" має обмеження - вона захоплює тільки ті мережеві пакети, які передаються в комплекті з комп'ютером (на якому запущений "Монітор") або відправляються з даного комп'ютера, в тому числі широкомовні пакети. "Монітор" - потужний інструмент для виявлення різних мережевих проблем і неполадок, що дозволяє детально вивчати вміст переданих по мережі пакетів.
Всі дані, що пересилаються по мережі від одного мережевого адаптера іншому, складаються з фреймів (кадрів). Кожен фрейм містить наступну інформацію:
- Адреса джерела (відправника) - MAC-адресу мережевого адаптера, з якого відправлений кадр;
- Адреса призначення (одержувача) - MAC-адресу мережевого адаптера, якому призначався кадр (ця адреса може також визначати групу мережевих адаптерів);
- Дані заголовка - інформація, що містить опис для кожного протоколу, використовуваного при передачі кадру;
- Дані - передані дані (або частина даних).
У звичайному стані кожен мережевий адаптер приймає тільки ті фрейми, які адресовані даного адаптера (або всім мережевим адаптерам при відправці широкомовних пакетів). Всі інші кадри мережевимиадаптерами ігноруються. Всі захоплюються в процесі роботи "Мережевого монітора" фрейми зберігаються в буфері захоплення (за замовчуванням розмір буфера 1 МБ, тому "Монітор" зберігає тільки останній мегабайт захоплених фреймів). Захоплені фрейми після закінчення процесу захоплення і вивчення можна зберегти у файлі з розширенням ".cap" для подальшого більш детального вивчення.
Установка "Мережевого монітора"
"Монітор" встановлюється так само, як і інші компоненти системи: "Панель управління" - "Установка і видалення програм" - кнопка "Установка компонентів Windows" - "Засоби управління і спостереження" - кнопка "Склад" - "Засоби мережевого монітора" . Після установки "Мережевого монітора" в розділі "Адміністрування" Головного меню системи з'являється відповідний ярлик.
Запуск "Мережевого монітора" і вибір мережевого інтерфейсу
При запуску "Мережевого монітора" адміністратор повинен вибрати той інтерфейс, для якого буде проводитися захоплення мережевих пакетів. "Монітор" може перехоплювати фрейми для різних типів інтерфейсів - мережеві адаптери, модеми, VPN-з'єднання. Після запуску "Мережевого монітора" адміністратор бачить запит, зображений на Мал. 16.34 :
Виберемо "Підключення по локальній мережі" ( Мал. 16.35 ). Для обраного підключення програма показує коротке зведення: модель мережевого адаптера, MAC-адресу адаптера, швидкість передачі даних, максимальний розмір фрейма (в даному прикладі - 1500 байт).
Початкове налаштування параметрів
На початку роботи можна вказати розмір буфера захоплення для тимчасового зберігання перехоплених фреймів: пункт меню "Запис" - "Параметри буфера".
Запуск захоплення мережевих пакетів
Запуск захоплення фреймів здійснюється через меню "Запис" - "Запустити" або натисканням кнопки "Почати запис даних" на панелі інструментів (кнопка 
). В процесі роботи "Монітор" показує статистику мережевої активності даного комп'ютера ( Мал. 16.36 ).
Ліва верхня панель показує відсоток завантаженості мережевого сегмента, швидкість передачі кадрів і швидкість передачі байтів.
Панель зліва посередині вікна показує фізичні адреси адаптерів, з якими відбувається обмін даними.
Нижня панель показує детальну статистику обміну пакетами для всіх мережевих адаптерів, з яких отримані або на які відправлені фрейми.
Панель справа вгорі показує загальну статистику мережі.
Зупинка захоплення пакетів
Для зупинки процесу захоплення фреймів потрібно вибрати пункт меню "Запис" - "Зупинити" (просто для зупинки) або "Запис" - "Зупинити і переглянути" (щоб після зупинки відразу перейти в режим перегляду захоплених фреймів), а також натисканням кнопок відповідно " закінчити запис даних "( 
) Або "Закінчити запис і відобразити дані" ( 
).
Перегляд захоплених фреймів
Якщо ви відразу після зупинки запису фреймів не перейшло в режим їх перегляду, це можна зробити через меню "Запис" - "Показати записані дані" або натисканням кнопки "Показати записані дані" ( 
). Спочатку при переході в режим перегляду вікно "Мережевого монітора" прийме вигляд, зображений на Мал. 16.37 (У вікні відображається повний список захоплених фреймів з короткою інформацією про кожного з них):
Подвійним клацанням миші на будь-якому з фреймів ми переходимо в режим перегляду вмісту захоплених фреймів ( Мал. 16.38 ).
На даному малюнку:
- верхня панель - повний список захоплених "Мережним монітором" фреймів;
- середня панель - структура виділеного у верхній панелі фрейму; Мал. 16.39 - загальні відомості про фрейм (дата, час, розмір); Мал. 16.40 - інформація про протокол канального рівня Ethernet (фізичні адреси адаптера-відправника і адаптера-одержувача, тип протоколу - IPv4); Мал. 16.41 - вміст заголовка протоколу IP; Мал. 16.42 - вміст заголовка протоколу TCP; Мал. 16.43 - сама інформація, що передається по мережі (в даному випадку - інформація про сесії протоколу NetBIOS);
- нижня панель - вміст фрейма в шестнадцатиричном і символьному вигляді; вміст тієї частини фрейму, яка виділена в середній панелі, в нижній панелі виділено інверсним кольором ( Мал. 16.44 ).
