Переваги використання мереж
Архітектура клієнт – сервер
Аналіз діалогу комп’ютерів у мережі
Причини помилок у журналі подій
Безпека комп’ютерів на базі Windows 2000/XP
Реалізація цілі
Приховування слідів
Протокол SNMP
Функції брандмауерів
Перехоплення мережевих даних
Перехоплення ТСР-з’єднання
Комутований доступ до мереж
Навигация
Причини помилок у журналі подій
Комп’ютерні мережі. Аналіз роботи і оптимізація
96639
знаков
0
таблиц
5
изображений
2.4 Причини помилок у журналі подій
Іноді у журналі виникають помилки подій. Однією з них є подія ID 2000, яка говорить Status_no_such_file. Ця подія відбувається, коли мережевий додаток посилає команду видалення файла на загальний диск, а файл вже був видалений. Тобто, в другому рядку розділу даних повідомлення про помилку буде c000000f, яке відповідає Status_no_such_file.
2.4.1 Метод пошуку серверних проблем
Ця проблема пов'язана з SMB. Спочатку потрібно розглянути файл перехоплення. Для спрощення створюється фільтр виводу, який показує тільки команди SMB для видалення файлу. На рис.2.4 показано, як створюється цей фільтр виводу. Знаходячись в режимі виводу, вибирається фільтр з меню виводу (display), після подвійного клацання по рядку протоколу з'являється діалогове вікно вибору, де відключаються всі протоколи. Наступним кроком потрібно вибрати SMB із списку протоколів в правій панелі діалогового вікна, а потім клацнути по кнопці включити (enable). Далі перейти в розділ "S" списку протоколів. Це можна зробити активізувавши на панелі меню "name" і введення "S". В наслідок цього відбудеться переміщення в розділ "S", дозволяючи швидко знайти протокол SMB. Коли протокол SMB буде включений, потрібно знайти команду SMB delete. Щоб це зробити, потрібно вибрати закладку "property" і в ній знайти протокол SMB. Клацнувши на знаку "плюс" поряд з SMB, з'явиться список властивостей протоколу, серед яких потрібно вибрати "command" із діалогово вікна. Коли "command" буде вибрано, появиться список значень. У списку значень потрібно вибрати "delete file" і потім натиснути "ok". Цей фільтр виводу показує команди "SMB delete" будь-якого комп’ютера[6].
При перегляді кадрів "SMB delete" потрібно знайти повідомлення про помилку. Розглянемо взаємодію. Клієнтська машина посилає на сервер команду "C delete file". Параметри включають розміщення файлу.
Відповідь з сервера повертається в наступному кадрі який представлений в роздруківці нижче. В ньому команда "R delete file" з повідомленням про відсутність помилок. Фай успішно видалений з сервера.
В першому файлі перехоплених даних проблема не локалізована. Для того щоб знайти помилку необхідно, створити фільтр перехоплення, що перехоплюватиме тільки один тип пакетів. Щоб отримати необхідну інформацію, яка показана на рис. 2.5, необхідно знайти шаблон, який вказує команду "SMB delete". Як можна побачити з рис.2.6, вибір в панелі виводу командного рядка SMB виводить число 06 в шістнадцятковій панелі в рядку зсуву 03. У рядку статусу Netmon в нижньому правому кутку, точний зсув рівний Зе в шістнадцятковому вигляді. Тепер є зсув і шаблон для фільтру перехоплення команди "delete SMB".
2.4.2 Фільтр перехоплення, та його використання
Виконання програми Netmon можна спланувати за допомогою команди AT яка вводиться у консолі cmd. Оскільки використовується спеціалізований фільтр перехоплення за допомогою якого можна визначити достатньо великий буфер перехоплення, то йому необхідно задати виконання протягом достатньо довгого періоду часу.
Використання фільтру перехоплення
Netmon /autostart /buffersize 1024000 /capturefilter с:/smbdelete.cf /autostop
Приведений вище текст команди необхідно ввести у текстовий редактор і зберегти як файл .bat. Для автоматизації процесу необхідно використати службу "Планувальник завдань".
На рис.2.7 зображено використання служби "Планувальник завдань" для автоматизації сеансу Netmon. Необхідно запустити службу планувальника, використовуючи аплет служби в панелі управління, у вікні CMD ввести необхідну команду AT. В даному випадку планувальник виконуватиме файл .bat з понеділка до п'ятниці в 5:00 після обіду. Приведений вище файл .bat виконуватиметься, поки буфер не заповниться, і потім зупиниться.
Виконуючи автоматичний сеанс Netmon під час прояву серверної проблеми, є можливість знайти неправильно працюючу програму, яка намагається повторно видалити вже видалений файл.
Ретельно створений фільтр перехоплення полегшує знаходження проблемної програми. При виявлені повідомлення про помилку, фільтр покаже, яка програма виконувалася в даний час. Крім того, можна включити перегляд часу при відкритті файлу перехоплення і точно побачити, який кадр відповідає певному повідомленню про помилку в переглядачі подій [6].
2.5 Проблеми що виникають при широкомовленні
Широкомовлення завжди є хорошим об'єктом для моніторингу, оскільки примушує всі машини в підмережі проглядати кадр. Це створює зайву роботу для багатьох машин. Крім того, коли виникає надмірна кількість широкомовних запитів, це створює руйнівний вплив на мережу.
При розгляді трафіку широкомовлення перший крок полягає в створенні фільтру виводу широкомовлення, що вибирає всі широкомовні повідомлення у вікні фільтру виводу, після цього перевірка широкомовних повідомлень достатньо прямолінійна. Якщо виникає широкомовний запит, як на рис.2.8, його легко виявити. Найбільш активному користувачеві звіт може дати уявлення про те, як він впливає на мережу. З рис.2.8 видно що один користувач використовує велику частину трафіку у мережі.
Наступний пакет ARP показує IP-адресу і MAC адресу машини, яка викликає надмірне широкомовлення .
Для отримання імені користувача можна виконати наступні команди:
· використати ping –a 10.0.0.163 для отримання імені хосту;
· використати arp –a для виведення кешу ARP;
· використати nbtstart –a 10.0.0.163 для отримання таблиці імен NetBIOS віддаленої машини.
Для усунення надмірного широкомовлення необхідно дослідити машину і перевірити, яке програмне забезпечення встановлено, які протоколи завантажено, а також вид використовуваного мережевого адаптера. Також, необхідно подивитися, чи існують оновлення для будь-якого з цих об'єктів, драйверів, перевірити оновлення вбудованих програм самого комп'ютера.
Визначивши, коли виникла проблема, можна дізнатись про те, яке програмне забезпечення було додане, видалене або оновлене, тобто що викликало проблему [2].
Розділ ІІІ. Методи захисту від несанкціонованого доступу в мережі TCP/IP
Похожие работы
... ї комп’ютерної мережі авіакомпанії «Північна компанія» 2.3.1 Програмний пакет проектування і моделювання гетерогенних комп'ютерних мереж NetCracker Professional Призначення системи: автоматизоване проектування і моделювання локальних і корпоративних комп'ютерних мереж в цілях мінімізації витрат часу і засобів на розробку, верифікацію проектів. Функції: створення проекту мережі; анімаційне ...
... інованим) порядком. При використанні детермінованих методів колізії неможливі, але вони є більш складними в реалізації і збільшують вартість мережного обладнання. 3.1 Метод доступу до каналів комп’ютерних мереж з перевіркою несучої та виявленням колізій CSMA/CD Метод багатостанційного доступу до середовища з контролем несучої та виявленням колізій (Carrier Sense Multiply Access / Collision ...
... її з даними, отриманими раніше, і вироблення припущень про можливі причини сповільненої або ненадійної роботи мережі. Завдання моніторингу вирішується програмними і апаратними вимірниками, тестерами, мережевими аналізаторами і вбудованими засобами моніторингу систем управління мережами і системами. Завдання аналізу вимагає активнішої участі людини, а також використання таких складних засобів як ...
... ів з нижніх рівнів великих мереж. Існують дві основні схеми застосування комутаторів: зі стягнутої в точку магістраллю й з розподіленою магістраллю. У великих мережах ці схеми застосовують комбіновано. Для побудови даної комп’ютерної мережі я вирішив використати комутатор фірми D-Link DGS-1248T/GE (WebSmart комутатор з 44 портами 10/100/1000Base-T + 4 комбо-портами 1000Base-T/Mini GBIC (SFP) і ...
0 комментариев