對於廣大的
網絡管理員來說,Windows2000Server的推出,可以說是一個非常好的消息,因為大家在也不用費心去找第三方廠商的
網絡監視器程序了,Windows2000Server本身已經提供了非常好的
網絡監視器程序,下面我們就來了解一下Windows2000Server使用
網絡監視器:
一、
網絡監視器概述
使用
網絡監視器捕獲和顯示運行Windows2000Server的計算機從區域網(LAN)上接收的幀(也稱作
數據包)。
網絡管理員可以使用
網絡監視器檢測和解決在本地計算機上可能遇到的
網絡問題。例如,作為一名
網絡管理員,當
服務器計算機不能與其他計算機通訊時可以使用
網絡監視器診斷硬體和軟體問題。
網絡監視器捕獲的幀可以保存為文件,然後發給專業的
網絡分析人員或支持機構。另外,
網絡應用程式開發人員可以在開發時使用
網絡監視器監視和調試
網絡應用程式。
Microsoft系統管理
服務器包含
網絡監視器的完整版本。作為對Windows2000
網絡監視器的功能的補充,系統管理
服務器
網絡監視器能夠捕獲發到和發自網段上所有計算機的幀,也能夠編輯和傳輸這些幀。下面就介紹一下有關的術語:
1、
網絡數據流
網絡監視器監視
網絡數據流,該
數據流由任意給定時間內通過
網絡傳輸的所有信息組成。信息在傳輸之前,由
網絡軟體分割成較小的塊,這些小塊稱作幀或者
數據包。
2、幀,無論是通過廣播、多播還是直接傳輸的,都由幾個不同的塊組成,這樣就能夠單獨進行分析。
一些塊包含
網絡監視器可用於解答
網絡問題的
數據。例如,通過檢查目標地址,能夠確定幀是指明所有主機必須接收並處理的廣播幀,還是發送到指定主機的直接傳輸幀。通過對幀的分析,可以確定幀的確切起因,這有助於確定產生這種幀類型的
服務是否能夠進行優化。下圖闡明了乙太網幀的組成部分:
3、捕獲
網絡數據網絡監視器複製幀的過程稱為捕獲。您可以捕獲發到本地網卡或從本地網卡發出的所有
網絡通信,也可以設置一個捕獲篩選器來捕獲幀的子集。還可以指定一系列條件來觸發
網絡監視器捕獲篩選器的事件。通過使用觸發器,
網絡監視器可以響應
網絡上的事件。例如,您可以使Windows在
網絡監視器檢測到
網絡上的一系列特定情況時啟動可執行文件。在捕獲了
數據之後,您可以查看它。
網絡監視器通過將原始捕獲
數據轉化為它的邏輯幀結構從而為您做了許多
數據分析工作。
網絡監視器使用
網絡驅動程序接口規範(NDIS)功能將它檢測到的所有幀複製到捕獲緩存中。
注意:
因為Windows2000中的
網絡監視器版本使用NDIS的"僅本地"模式替代了混合模式,所以即使您的網卡不支持混合模式,您照樣可以使用
網絡監視器。當您使用NDIS驅動程序捕獲幀時,
網絡性能不受影響。(網卡置於混合模式能夠使CPU的負載增加百分之三十或者更多。)
二、了解
網絡監視器
下面我們一起來了解一下
網絡監視器:
1、
網絡監視器組件
網絡監視是由稱為
網絡監視器的系統管理工具和稱為
網絡監視器驅動程序的
網絡協議組成的。為了捕獲、顯示和分析
網絡數據包(也稱為幀),您必須安裝所有這些組件。
2、
網絡監視器
使用
網絡監視器捕獲和顯示運行Windows2000Server的計算機從區域網接收的
數據幀。
網絡管理員可以使用
網絡監視器檢測和解決本地計算機可能遇到的
網絡問題。
網絡監視器只能安裝在運行Windows2000Server的計算機上。當您安裝
網絡監視器時,
網絡監視器驅動程序會
自動安裝在同一臺計算機上。
3、
網絡監視器驅動程序
網絡監視器驅動程序允許
網絡監視器從網卡接收幀,並且允許使用Microsoft系統管理
服務器提供的
網絡監視器版本的用戶捕獲和顯示來自遠程計算機的幀,其中包括通過撥號
網絡連接獲得的幀。當運行系統管理
服務器
網絡監視器的計算機用戶與已經安裝
網絡監視器驅動程序的計算機進行遠程連接時(並且該用戶已啟動捕獲進程),那麼捕獲的統計信息將通過
網絡傳送到負責管理的計算機。
網絡監視器驅動程序只能安裝在運行MicrosoftWindows2000Professional或者Windows2000Server的計算機上。
注意:
Windows2000以外的作業系統的
網絡監視器驅動程序由系統管理
服務器提供。作為對Windows2000
網絡監視器功能的補充,系統管理
服務器的
網絡監視器可以捕獲網段中發送到或從所有計算機發出的幀,也可以編輯和傳輸這些幀。
4、
網絡監視器的安全性
為安全起見,Windows2000中的
網絡監視器版本僅捕獲廣播和多播幀、發送到或來自本地計算機的幀。
網絡監視器也為廣播幀、多播幀、
網絡使用情況、每秒接收的總字節數和每秒接收的總幀數顯示所有
網絡段統計信息。另外,為了保護您的
網絡以防有人未授權安裝
網絡監視器,
網絡監視器提供了檢測在
網絡中本地網段運行的其他
網絡監視器安裝情況的功能。
5、檢測其他
網絡監視器的安裝情況
為了防止有人未經授權監視您的
網絡,
網絡監視器能夠檢測到運行在
網絡中本地網段的其他
網絡監視器的安裝情況。為在
網絡上捕獲
數據,
網絡監視器還會檢測遠程使用的
網絡監視器驅動程序的所有實例(或者通過來自系統管理
服務器的
網絡監視器,或者通過系統監視器)。當
網絡監視器檢測到
網絡上還安裝了其他
網絡監視器時,它會顯示關於這些監視器的下列信息:
計算機的名稱
登錄到這臺計算機的用戶的名稱
在遠程計算機上的
網絡監視器的狀態(運行、捕獲或者傳輸)
遠程計算機的適配器地址
遠程計算機上的
網絡監視器的版本號
在某些情況下,您的
網絡結構可能會阻止安裝的某個
網絡監視器檢測其他的
網絡監視器。例如,如果通過不轉發多播的路由器安裝的
網絡監視器與您安裝的監視器完全獨立,那麼您安裝的監視器就不能檢測到通過路由器安裝的監視器。
使用捕獲篩選器
捕獲篩選功能就象
數據庫查詢一樣,使用它指定希望監視的
網絡信息的類型。例如,如果只想觀察計算機或協議的指定子網,可以創建地址
數據庫,使用該
數據庫將地址添加到您的篩選器中,然後將篩選器保存為一個文件。通過對幀的篩選,既節省了緩存資源,又節省了時間。如果必要的話,您可以稍後再次加載捕獲篩選器文件和使用篩選器。
三、使用
網絡監視器
了解了
網絡監視器的基本情況後,我們借可以使用它來為我們工作了:
1、設計捕獲篩選器
要設計捕獲篩選器,請在"捕獲篩選器"對話框中指定決策聲明。這個對話框顯示了篩選器的決策樹,決策樹是篩選器邏輯的圖形表示。當您從捕獲規範中包括或排除信息時,決策樹反映了這些規範。
2、通過協議篩選
要捕獲使用特定協議發送的幀,請在捕獲篩選器的SAP/ETYPE=行上指定協議。例如,如果希望僅捕獲IP幀,請禁用所有協議,然後啟用IPETYPE0x800和IPSAP0x6。默認情況下,啟用
網絡監視器所支持的所有協議。
3、通過地址篩選
要捕獲來自
網絡上特定計算機的幀,請在捕獲篩選器中指定一個或多個地址對。您可以同時監視最多四個特定的地址對。
地址對由以下部分組成:
希望監視其通信的兩臺計算機的地址。
指定希望監視的通信方向的箭頭。
"INCLUDE"或者"EXCLUDE"關鍵字,指示了
網絡監視器如何響應符合篩選器規範的幀。
不管在"捕獲篩選器"對話框中狀態顯示的順序如何,都應首先評估"排除"狀態。因此,如果幀符合包含"EXCLUDE"和"INCLUDE"兩條語句的篩選器中"EXCLUDE"語句所指定的條件,那麼此幀將被丟棄。
網絡監視器不根據"INCLUDE"語句測試此幀是否也符合標準。
例如,要捕獲來自Joe計算機上的所有通信(從Joe到Anne的通信除外),請使用下列捕獲篩選器地址部分:
Addresses
includeJoe<---->Any
excludeJoe<---->Anne
如果沒有Include行,則默認使用your_computer<---->Any。
4、通過
數據模式篩選
通過在捕獲篩選器中指定模式匹配,您可以:
限制捕獲那些只包含ASCII或十六進位
數據的特定模式的幀。
指定一幀裡多少字節數(偏移量)過後必須採用此模式。
當基於模式匹配進行篩選時,您必須指定模式出現在幀中的位置(距離開始或結尾的字節數)。如果
網絡媒體在媒體訪問控制協議中具有可變的大小,例如乙太網或令牌環網,請指定從拓撲結構頭的結尾開始計數。
5、使用顯示篩選器
象捕獲篩選器一樣,顯示篩選器功能就象
數據庫查詢,允許您選出特定類型的信息。但是因為顯示篩選器在已經捕獲的
數據上操作,所以它不影響
網絡監視器捕獲緩存中的內容。
使用顯示篩選器確定顯示的幀。您可以根據如下內容篩選幀:
它的源地址和目標地址。
發送所使用的協議。
它所包含的屬性和值。(屬性是協議頭中的
數據欄位。協議的屬性說明了協議的用途。)
6、顯示捕獲的
數據網絡監視器通過解釋在捕獲過程中收集的原始
數據以及在"幀查看器"窗口中顯示
數據來簡化
數據分析過程。
要在"幀查看器"窗口中顯示捕獲的信息,請在進行捕獲時單擊"捕獲"菜單上的"停止和查看"。或者打開一個捕獲文件(.cap)。
注意:
要顯示用"NetworkGeneralSniffer"捕獲的
數據,請打開未壓縮的Sniffer文件。要查看壓縮的Sniffer文件,請在Sniffer中打開此文件然後以不壓縮格式保存此文件。或者,從NetworkGeneral中獲取Sniffer文件的解壓縮工具。
"幀查看器"窗口包括下列窗格:
窗格顯示
摘要已捕獲幀的一般信息,按捕獲的順序排列。
詳細信息幀的內容,包含發送此幀所使用的協議。
十六進位捕獲
數據的十六進位和ASCII表示法。