A hálózati monitor hálózati monitorral való munkája (4. rész)
A cikk utolsó részében megmutattam, hogyan szűrheti ki a Network Monitor által elfogott adatokat, hogy csak a kívánt számítógépek közötti kölcsönhatásokat jelenítse meg. A nem érdeklődő számítógépek közötti kölcsönhatások szűrése csak kezdeti szakasz, mert még mindig a befogott fájlban van egy csomó szemetet, amelyet el kell rendezni, mi kapja az információt, ami érdekel minket. Példánkban példánkban a ping parancsot futtattuk egy másik számítógépen a hálózaton. A standard PING parancs tipikusan tizenkét adatcsomagot állít elő. Ha megnézed az A ábrát, látni fogod, hogy még a többi számítógép közötti kölcsönhatások szűrése után is több mint tizenkét csomagot látunk.
A. ábra: A rögzítéskor meg kell szabadulnia a szemetetől
A legkülönösebb dolog az elfogás, hogy öt-hat másodperc alatt készült. Elképzelhető, hogy hány csomagot fognak lefoglalni hosszabb idő alatt, vagy ha a hálózat erősebben terhelt, ami nagyon valószínű, hogy valódi helyzetben van.
Szerencsére számos más dolog van, amely lehetővé teszi, hogy megszabaduljon a felesleges információktól. Ebben a konkrét esetben érdeklődünk a PING paranccsal társított csomagok megtalálásától. A PING parancs futtatásakor a Windows operációs rendszer az ICMP protokollt hívja. Ezért olyan szűrőt állíthatunk be, amely csak ICMP csomagokat jelenít meg.
Ne felejtsd el, hogy a beérkezett információkat már kiszűrjük úgy, hogy megnézzük a számunkra érdekes számítógépek közötti kölcsönhatást. Az információink protokollal való további szűréséhez kattintson a Szűrő ikonra (egy csatornahoz hasonló ikon). Ezután megjelenik a Beszélgetés megjelenítése képernyő.
B. ábra: A párbeszédpanel lehetővé teszi a számítógépek és protokollok információinak szűrését
Szűrni a protokollt, jelölje ki a sort jegyzőkönyv == Bármely (bármilyen protokoll), majd a Beállítások gombra Expression (szerkesztés kifejezés) (Ez a gomb akkor jelenik meg a helyén Change Operator gomb, amely az ábrán látható). Ezután megjelenik egy ablak hasonló ábrán C. Mint látható az ábrán, az ablakban egy lista az összes protokollt, amely ismeri a hálózat monitor (Network Monitor), valamint egy rövid leírást minden protokoll.
C ábra: Az Expresszák párbeszédpanel (kifejezések) a hálózati monitor (Network Monitor) által ismert összes protokoll listáját jeleníti meg.
Szűrő létrehozásához kattintson a Mindent letiltás gombra. Ennek eredményeképpen az Enabled Protocols listából (beleértve a protokollokat is) lévő protokollok átkerülnek a Disabled Protocols (Disconnected protocols) listájára. Most, a Disabled Protocols listában keresse meg az ICMP protokollt. Válassza ki az ICMP protokollt, majd kattintson az Engedélyezés gombra. Ezután az ICMP protokoll az Enabled Protocols listában szerepel. Kattintson duplán az OK gombra, és a rögzítés lesz szűrt, és csak a csomagokat érdekli, amint azt a D. ábra mutatja.
D ábra: Egyidejűleg megadhat szűrőt a számítógépen és a protokollon
Az a technika, amit csak megmutattam, nagyszerűen működik, ha pontosan tudja a protokollt, amire kíváncsi. De néha előfordulhat, hogy általános képet kell kapnia arról, hogy mi történik a két számítógép között, ezért előfordulhat, hogy nem egyértelmű, hogy mely protokollok vesznek részt az interakcióban. Még ilyen helyzetekben technikák is használhatók a felesleges információk szűrésére.
Az a technika, amit szeretnék mondani, majdnem olyan hatékony, mint az, amit láttál, de azt a való életben használom. A technika mögött az a gondolat, hogy a felesleges csomagokat egyenként szűrjük le. Mielőtt elmondanám, hogyan működik ez a technika, szeretném megemlíteni, hogy a csomag minősítésének szükségessége rendkívül nagy mértékben változik egyik ügyről a másikra. Minél többet szeretne megtudni a rögzített fájlról, annál kevesebb csomagot szeret szűrni. Másrészt, ha csak azt szeretné, hogy általános képet kapjon arról, mi folyik itt, akkor csak néhány csomagot kell hagynia.
Mint láttuk, egy FUBAR nevű számítógépet használtunk a PING parancs végrehajtására a TAZMANIA nevű kiszolgálónak. Tegyük fel, hogy tudjuk, hogy ez a két számítógép részt vesz az interakcióban, de nem tudjuk, hogy a PING parancs az ICMP protokollt használja.
Ebben a helyzetben az első dolog, amit csinálunk, a szűrőcsomagokat oly módon szűrjük le, hogy levágjuk az összes olyan csomagot, amely nem kapcsolódik a két számítógép közötti kölcsönhatáshoz. Ehhez ugyanazt a technikát alkalmazzuk, amelyet a cikk harmadik részében használtunk, és a felhasználás eredménye az A. ábrán látható.
Amikor tudtuk, hogy csak az ICMP csomagok érdekeltek, egy szűrőt használtunk az összes csomag csonkolására, kivéve az ICMP csomagokat. Ebben az esetben meg fogjuk tenni az ellenkezőjét. Ehelyett távolítsa el az összes protokollt, kivéve azt, ami érdekel minket, kezdetben hagyja az összes protokoll engedélyezve van, majd eltávolítjuk a különleges protokollokat, mert mint tudjuk, hogy nem érdekel minket.
Ha megnézed az A. ábrát, látni fogod, hogy a protokoll TCP protokollt leggyakrabban használják. A TCP / IP protokoll törekszik az adatok töredékére. Nagyon gyakran, ha lát egy TCP csomagot, akkor ez egy olyan fragmentum, ami az előző keretből marad. Ha szeretnék általános képet kapni arról, hogy mi folyik itt, az első dolog a TCP csomagok szűrése.
Kattintással és a szűrő ikonra kell kattintania a Display Filter párbeszédpanel eléréséhez. Kattintson a Protokollra == Bármelyik vonalra, majd kattintson az Expressz szerkesztése gombra. Válassza ki a TCP protokollt, majd kattintson a Letiltás gombra. Sajnos a Network Monitor jelenlegi verziójának hibája miatt minden nem működik megfelelően. Kerülő megoldásként létrehoztam a rögzítéshez használt protokollokat. Aztán letiltottam az összes protokollt, de magába foglalta azokat a protokollokat is, amelyeket a befogásra használt. Ezután kikapcsolhatom a protokollokat, ha úgy tűnik számomra, hogy nem kapcsolódnak ahhoz, ami érdekel. Ha például az E ábrát az A. ábrához hasonlítja, láthatja, hogy a listát mennyire csökkent a TCP protokoll kiszűrése után.
E ábra: Az olyan protokollok szűrése, amelyek nem kapcsolódnak ahhoz, amit keres, jelentősen csökkentheti a rendezendő csomagok számát
következtetés
Ebben a cikkben megmutattam két különböző technikát a szükséges csomagok elkülönítéséhez. Az 5. részben folytatni fogom a történetet, és megmutatom, hogyan lehet adatokat gyűjteni az egyes rögzített keretekből.