Network Monitor V2
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Network Monitor V2 as PDF for free.
More details
- Words: 3,571
- Pages: 30
Network Monitor Network Monitor ağ trafiğini gerçek zamanlı olarak izleyebilmemizi sağlayan Windows 2003 Network Yönetim ve İzleme araçlarından biridir. Network Monitor üzerine kurulu olduğu bilgisayarın network kartından ağ’daki diğer bilgisayarların network kartlarına giden sinyaller network trafiğini oluşturur. Network Monitor ile izlediğimiz trafik akışından edindiğimiz bilgiler networkte oluşan sorunları anlamamıza ve çözmemize yardımcı olur. Network monitor ile trafik akışı anlık olarak yakalanır (capture). Bu sayede o anda ya da daha önce capture edilmiş LAN’ daki ya da WAN’ daki TCP/IP protokolü ile gerçekleşen tüm iletişim akışı analiz edilebilir sorunlar çözülebilir, ya da çıkabilecek sorunlara müdahale imkanı doğar. Network Monitor, network trafiğinde belli durumlar ortaya çıktığında otomatik olarak uyarı vermesi için de konfigüre edilebilir. Trigger opsiyonu sayesinde capture işlemi otomatik durdurulabilir istenen bir komut açlıştırılabilir ya da sadece bir sinyal göndermesi sağlanabilir. Filtre ayarları sayesinde Capture edilen bilgilerin tipi ve hangi dataların görüntüleneceği önceden belirlenebilir. Capture edilen datalar ve ekran görüntüleri daha sonra analiz edilmek üzere saklanabilir ya da print edilebilir. Microsoft Windows Server 2003 işletim sistemi ile birlikte bir network bileşeni olarak gelen Network Monitor kurulduğu makina üzerinde gelen ve giden network paketlerini capture edebilirken Microsoft System Management Server ile birlikte gelen Network Monitor uzaktaki bilgisayarların network trafiğini de agent yazılımı sayesinde capture edebilir. Network Monitor’ un capture ettiği network paketleri frame’ lere bölünerek incelenir. Bu frameler, paketin gönderildiği ve paketin geldiği bilgisayarın adresini ve protocol bilgilerini içeren en küçük data paketleridir. Bir network kartı kendi MAC adresinin olduğu frame’ leri kabul ederken diğerlerini kabul etmez yani drop eder ve işleme sokmaz. Multicast ya da Broadcast paketlerini ise kabul eder.
Source address: Frame’ in geldiği bilgisayarın network adaptor’ ünün MAC adresidir. Destination address: Frame’ i kabul edeceği düşünülen bilgisayarın network adaptor’ ünün MAC adresidir. Bu adres tek bir network adaptor’ üne ya da bir grup adaptor’ e ait olabilir. Header information: Frame’ i gönderirken kullanılan herbir protocol bilgisi burada bulunur. Data: Gönderilmek istenen data.
Network Monitor Kullanım Alanları Network Monitor’ u kullanabileceğimiz en önemli nokta yerel ağımızdaki problemlerin tespiti ve ağdaki network trafiğinin izlenmesidir. İki bilgisayar arasındaki network bağlantısındaki problemleri Network Monitor kullanarak bulabiliriz. Ayrıca ağdaki network trafiğini izleyerek frame’ lerin içindeki bilgileri görebiliriz. Diğer bir kullanım alanı da network trafiğimizin performansıdır kullanılan network cihazları ve network alt yapımızın performansını Netwrok Monitor kullanarak analiz edebiliriz. Network monitor kullanımına bir başka örnek ise Network’ ümüzde yer alan ancak Network Monitor2 ü kuramadığımız cihazların performanısı kontrol etmek ve sorunları ortaya çıkarmaktır ancak bunun için yukarıda belirttiğimiz gibi Microsoft System Management Server ile birlikte gelen Network Monitor’ ü kullanmamız gerekir. Özetle Network Monitor’ ün kullanımını şu başlıklar halinde sıralayabiliriz:
1. Client-Server bağlantı sorunlarının bulunması ve çözümü 2. Networkteki gereksiz yere ve fazla sayıda servis talebinde bulunan bilgisayarları ayırt etmek için 3. Networkteki paketleri (frame) yakalamak ve monitor etmek 4. Yakalanan paketleri filtrelemek, göstermek ve analiz etmek 5. Networkteki yetkisiz kullanıcı ve bilgisayarları ayırt etmek
Picture file name: netmon0.tif
Network Monitor Kurulumu Network Monitor’ ün iki ayrı versiyonu olduğuna yukarıda değinmiştik. Bu iki versiyon, Promiscuous Mode ve Nonpromiscuous Mode olarak adlandırılır. 1.
Promiscuous Mode’ da network adaptor sadece kendisine gelen ya da kendisinden giden paketleri değil, fiziksel olarak bağlı olduğu networkteki tüm paketleri okur ve izlemeye alabilir. Promiscouos Mode’ u kullanmadan önce şirketimizdeki ya da organizasyonumuzdaki güvenlik politikalarının böyle bir aracı kullanmamıza izin verip vermediğini araştırmamız tavsiye edilir Network Monitor’ ü Promiscouos Mode’ da kullanmak için bu mode’ u destekleyebilen bir network adaptor’ e ihtiyacımız vardır. Genellikle çoğu adaptor bu mode’ u desteklemektedir. Daha önce de belirtttiğimiz gibi sadece System Management Server (SMS) ürünü içerisinden çıkan Network Monitor Tool’ u Promiscouos Mode’ u desteklemektedir. Windows Server 2003 , Windows 2000 Server ve Windows NT Server işletim sistemleri ile birlikte gelen Network Monitor ise güvenlik gereklilikleri yüzünden Promiscouos Mode’ u desteklememektedir.
2.
Nonpromiscuous Mode ise network adapter’ ün sadece Network Monitor’ ün kurulu ve çalışır olduğu bilgisayardan giden ve bu bilgisayara gelen network trafiğini capture edebildiği mode’ dur.
Kurulum Aşamaları
1. Network Monitor’ ü kuracağımız bilgisayara Local Administrator kullanıcı hesabı ile Logon olunur.
2. Control Panel’ deki Add or Remove Programs tıklanır. 3. Add or Remove Programs penceresinde Add/Remove Windows Components kutusu tıklanır ve beklenir.
4. Windows Components Wizard dialog kutusunda sırasıyla Management and Monitoring Tools ve Details bölümleri tıklanır.
5. Subcomponents of Management and Monitoring Tools bölümünde Network Monitor 6.
Tools seçilir ve OK’ e tıklanır. Next’ e tıklanır ve Windows Server 2003 CD’ si takılarak kurulumun tamamlanması beklenir.
Picture file name: netmon1.tif
Picture file name: netmon2.tif
Network Monitor Driver Kurulumu
1. Start, Settings ‘den Network Connections açılır. 2. Network Connections bölümünde, Local Area Network Connection sağ tıklanıp 3. 4. 5. 6.
Properties seçilir. Local Area Connection Properties dialog kutusunda Install tab’ ıseçilir. Select Network Component Type dialog kutusunda, Protocol ve Add sırasıyla tıklanır. Select Network Protocol dialog kutuusnda Network Monitor Driver seçilir ve OK’ tıklanır. Kurulum dosyalarının yeri istendiğinde işletim sisteminin kurulum CD’ si takılıp ilgili path seçilir (\i386).
Picture file name: netmon3.tif
Picture file name: netmon3a.tif
Picture file name: netmon4.tif
Picture file name: netmon5.tif
Picture file name: netmon6.tif
Picture file name: netmon7.tif
Network Trafiği’ nin Monitor Edilmesi Aşamaları Network Trafiğinin fotoğrafının çekilmesi: Capture Spesifik paketlerin seçilerek capture işleminin bunlara göre yapılması: Capture Filtreleme 3. Paketlerin farklı protokollere göre çözülmesi 4. Network istatistiklerinin derlenmesi 1. 2.
1. Network Paketlerinin Yakalanması (Capture) Network Monitor frame’ leri yakalarken bunları kendi mantıksal dizilişine dönüştürürerek bizim bu datayı analiz edebilmemizi sağlar. Bir LAN kartına gelen ve giden frame’ lerin yakalanarak kopyalanmasına capture denir. Network Monitor ile network kartına gelen tüm paketleri yakalayabileceğimiz gibi önceden belirlediğimiz filtre’ ler (capture filtre) sayesinde belli frame topluluklarını da capture edebiliriz. Capture işlemi network kartının algıladığı belli event’ ler için de tetiklenebilir örneğin network kartına gelen belli bir frame seti için bilgisayarımızın kapanmasını sağlayabiliriz.
Network Monitor kullanılarak capture işleminin başlatılması: 1. Network Monitor açılır. 2. Kullanılmak istenen network adaptor’ ü seçilir. 3. Toolbar’ daki Start Capture butonuna basılralara capture işlemi başlatılır. 4. Capture işlemini durdurmak için Stop’ a ardından da View Capture’ a basılır. 5. Capture penceresi kapatılmaz.
Picture file name: netmon8.tif Network Monitor Capture işlemi komut satırından da kullanılabilir. Örneğin ftp_capture.cf gibi bir filtre dosyası oluşturmuş olalım bu hazır filtreyi kullanarak capture işlemini başlatmak için; start netmon /capturefilter c:\captures\http.cf komutunu çalıştırmamız yeterlidir. Network Monitor’ ü kullanarak herhangi bir networkte deneme amaçlı bile olsa yapacağımız bir capture işlemi sonucunda en son capture işlemine ait özet bilgiler Network Monitor Capture Summary penceresinde (Özet Bilgi Ekranı) görüntülenir. Özet bilgi ekranı Capture edilen frame’ lerin kronolojik bir listesini gösterirken herbir frame için ayrıntılı olarak aşağıda açıklanan bilgileri de listeleyebilmektedir. Frame: Capture işlemi sonucunda yakalanan Frame sayısı. Time: Frame’ in Capture işlemi için geçen süre (saniye olarak).
Src MAC Addr: Frame’ in geldiği yöndeki network adaptorü’ nün MAC adresi ya da eğer çözmlenebilmiş ise NetBios adı. Network Monitor’ ün kurulu olduğu bilgisayar için bu adres LOCAL olarak görülür. Dst MAC Addr: Frame’ i alan yöndeki network adaptorü’ nün MAC adresi ya da eğer çözmlenebilmiş ise NetBios adı. Protocol: Frame’ deki baskın protokol. Herbir Frame OSI Modeli’ ndeki herbir katman için sıralanmış tüm protokollerin oluşturduğu bilgileri içerebilir. Description : Frame’ in amacı. Protokol bölümündeki bilgiyi kullanarak oluşturulur. Src Other Addr: Frame’ i gönderen yöndeki bilgisayarı ayırt etmemizi sağlayan başka bir bilgisayar var ise bu bilgisayarın adresi. Dst Other Addr : Frame’ I alan yöndeki bilgisayarı ayırt etmemizi sağlayan başka bir bilgisayar var ise bu bilgisayarın adresi (IP adresi olabilir). Type Other Addr Src Other Addr ve Dst Other Addr bölümlerdeki adreslerin tiplerini belirten bölüm.
Picture file name: netmon9.tif
“Capture Buffer” Ayarları 1. Network Monitor açılır. 2. Default olarak Capture edilen local network connection data’ sı seçilir.
3. Capture menu’ den Buffer Settings seçilir. 4. Maksimum Capture buffer büyüklüğü seçilir. Eğer gerekliyse Capture edilecek maksimum frame büyüklüğü de buradan belirlenebilir OK ‘e basılır. 5. Bu task’ ı gerçekleştirebilmek için Local Administrators Grubunda ya da Active Directory Domain ortamında Domain Admins grubunda olmak gerekir. Önemli: Eğer buffer ayarları sistemdeki available memory’ i aşar ise frame’ ler drop olabilir.
Picture file name: netmon10.tif
Netwok Monitor Pencere ve İstatistikleri Capture işlemi sonucu elde edilen data, Network Monitor’ de grafiksel ve istatistik bilgileri olarak görülür. Şimdi bu ekrandaki pencerelerin herbirini ve istatistiklerin ne anlama geldiğini ayrıntılı olarak inceleyelim;
A. Graph: Bilgisayarımıza gelen ve bilgisayarımızdan giden frameleri grafiksel olarak gösteren bölüm. % Network Utilization Capture işlemi için kullanılan network adaptor’ün performans kriterlerinden biridir. Bu yüzde, network adaptor’ ün frame’leri alıp gönderme oranının frameleri işledi maksimum orana bölümü ile bulunur.
Frames Per Second Network adaptor’ ün her bir saniyede Capture ettiği frame sayısıdır.
Bytes Per Second Network adaptor’ ün her bir saniyede Capture ettiği byte miktarıdır.
Broadcasts Per Second Network adaptor’ ün her bir saniyede Capture ettiği broadcast’ lerin sayısıdır..
Multicasts Per Second Network adaptor’ ün her bir saniyede Capture ettiği multicast’lerin sayısıdır.
Picture file name: netmon11.tif
B. Session Statistics: Farklı oturumların istatistiklerinin gösterildiği bölüm. Network Monitor yalnızca ilk 100 farklı oturumun istatistiklerini çıkartabilir.Bu yüzden spesifik bir client makinası için bir Capture filtre dizayn etmemiz gerekir. İstatistikleri sonraki 100 farklı oturum içinde çıkartabilmek için mevcut istatistikleri resetlememiz gerekir. Sonraki oturumları resetlemek ve bu oturumlarla ilgili bilgileri görebilmek için Capture menu’ den Clear Statistics komutuna tıklamamız yeterlidir. Genel olarak bütün network adaptor’ leri aşağıdaki istatistik bilgilerini gösterebilmektedirler. Eğer bazı istatistik bölümlerinde değer olarak Unsupported görünüyorsa network adaptor’ ünün bu istatistiği desteklemediği anlamına gelir.
Network Address 1 Bir network oturumunda taraflardan birincisine ait network adresidir..
Network Address 2 Bir network oturumunda taraflardan ikincisine ait network adresidir.
1 --> 2 Network Address 1 kolonunda listelenen adreslerden Network Address 2 kolonunda listelenen adreslere gönderilen framelerin sayısıdır.
1 <-- 2 Network Address 2 kolonunda listelenen adreslerden Network Address 1 kolonunda listelenen adreslere gönderilen framelerin sayısıdır.
Picture file name: netmon12.tif
C. Station Statistics: Bilgisayarımıza gelen ve bilgisayarımızdan giden framelerin istatistiklerini gösteren bölüm. Network Address Frame’ lerin Capture edildiği bilgisayarın network adaptor adresi.
Frames Sent Network Address kolonunda listelenen adreslerden biri tarafından gönderilen frame’ lerin sayısı.
Frames Rcvd Network Address kolonunda listelenen adreslerden biri tarafından alınan frame’ lerin sayısı.
Bytes Sent Network Address kolonunda listelenen adreslerden biri tarafından gönderilen byte’ ların sayısı.
Bytes Rcvd
Network Address kolonunda listelenen adreslerden biri tarafından alınan byte’ ların sayısı.
Directed Frames Sent Network adresinden gönderilen Boradcast ve Multicast olmayan framelerin sayısı.
Multicasts Sent Network Address kolonundaki adreslerin “FFFFFFFFFFFF” kullanarak belli bir grup bilgisayara gönderdikleri frame’ lerin gönderilme sayısı.
Broadcasts Sent Network Address kolonundaki adreslerinnetworkteki bilgisayarlara gönderdikleri frame’ lerin gönderilme sayısı.
Picture file name: netmon13.tif
D. Total Statistics: Capture işleminin başlamasından bu yana bilgisayarımıza gelen ve bilgisayarımızdan giden framelerin özet istatistiklerini gösteren bölüm. Network Statistics Capture işlemi başalatıldığından beri Network Monitor’ ün kurulu olduğu bilgisayardan gönderilen ve bu bilgisayara gelentoplam tafiğin sayısı ile ilgili istatistiklerdir.
•
Local makina için gönderilen ve gelen frame’ lerin sayısı.
•
Local makina için gönderilen ve gelen broadcast’ lerin toplam sayısı.
•
Local makina için gönderilen ve gelen multicast’ lerin toplam sayısı.
•
Local makina için gönderilen ve gelen toplam byte’ ların sayısı.
•
Drop olmuş frame’ lerin toplam sayısı.
•
Network durumu; Ethernet networklerinde her zaman için Normal durumundadır. Token Ring networklerinde ise local olarak token’ ın durumunu gösterir.
Captured Statistics Mevcut Capture işlemine toplam istatistikleri gösterir.
•
Capture edilmiş toplam frame’ ler.
•
Geçici olarak kullanılan Capture dosyasındaki framlerin toplam sayısı.
•
Buffer size’ ı aşıldığı drop olmuş toplam frame’ lerin sayısı.
•
Capture edilmiş toplam byte.
•
Geçici olarak kullanılan Capture dosyasındaki framlerin toplam byte.
•
Kullanılan Buffer alanının yüzdesi.
•
Network Monitor’ ün drop ettiği frame’ lerin sayısı.
Per Second Statistics Capture edilen Frame’ ler için saniye başına düşen ortalama istatistikleri gösterir. Bu ekrandaki istatistikler Capture filter tarafından dışlanan frame’ler dahil bütün frame’ leri içerir.
•
Capture işlemi başladığından beri saniye başına düşen ortalama frame sayısı.
•
Capture işlemi başladığından beri saniye başına düşen ortalama byte sayısı.
•
Capture işlemi başladığından beri saniye başına düşen ortalama broadcast mesajlarının sayısı.
•
Capture işlemi başladığından beri saniye başına düşen ortalama multicast mesajlarının sayısı.
•
Network Monitor’ ün yüzde kullanım istatistikleri. Bu istatistik o andaki Capture işleminin network adaptorunun kapasitesinin yüzde olarak ne kadarını kullandığını gösterir
Network Card (MAC) Statistics
Bu istatistikler Capture işlemi başladığından beri network adaptor’ üne gelen bütün network aktivitesini gösterir.
•
Network adaptor’ ü tarafından detect edilmiş toplam frame’ ler.
•
Network adaptor’ ü tarafından detect edilmiş broadcast’ ler.
•
Network adaptor’ ü tarafından detect edilmiş toplam multicast’ ler.
•
Network adaptor’ ü tarafından detect edilmiş toplam byte.
Network Card (MAC) Error Statistics Bu istatistikler Capture işlemi başladığından beri network adaptor’ ünü ilgilendiren bütün error’ ları network aktivitesini gösterir.
•
Cyclical redundancy check (CRC) için olması gereken size’ ın gelen CRC size ile uyuşmadığı durumlarda oluşan hataların sayısıdır.
•
Network adaptor’ ün detect ettiği fakat Network Monitor yeterli buffer alanı sağlayamadığı için drop olan frame’ lerin sayısı.
•
Network adaptor’ ün detect ettiği fakat harware problemlerinden dolayı drop olan frame’ lerin sayısı.
Picture file name: netmon14.tif
2. Capture Filtreleme Capture Filtreleme işlemini önceden belirlenmiş bir data seti ya da bir bilgisayar grubu için tanımlanan bir database sorgusu olarak düşünülebiliriz. Filtreleme için kullanacağımız bir adres database’ i yaratıp filtrelemek istediğimiz adresleri bu database’ e ekleyebilir ve bu database’i daha sonra da kullanabilmek için save edebiliriz. Capture Filtreleme kullanarak belli bir tipteki network bilgisine ihtiyacımız olduğunda hem buffer kaynaklarını hem de zamanımızı daha az harcayarak istediğimiz bilgiye ulaşmamız mümkündür.
Capture Filtreleme işlemi için Capture Filtre dialog kutusu kullanılır. Bu kutu filtereleme dizaynını ve mantığını grafiksel olarak gösteren bir ağaç yapısıdır. Bu sayede Capture Filtrelemeye eklediğiniz yeni kısıtlamalar ya da genişletmeler bu ağaç benzeri yapıda görünür..
Picture file name: netmon15.tif
a) Protokol ile Filtreleme
Capture işlemi ile ilgili detayları gördükten sonra bu kadar detaylı bir aracı ihtiyaçlarımız doğrultusunda etkin bir şekilde kullanabilmek için Capture filtreleme özelliğini mutlaka kullanmamız gerekir. Çünkü networkümüzde bulunan sıradan bir role sahip bir bilgisayar için bile birkaç saniyeliğine networkü Capture edersek takip edemeyeceğimiz sayıda çok sistem tarafından gönderilen framleri yakalamış oluruz. Bu analizimizi oldukça zorlaştırır ve vakit kaybına neden olur. Oysa ki, sadece NetBios trafiğini takip etmek üzere yaratacağımız bir filtreleme sayesinde spesifik olarak sadece NetBios transaction’ larını Capture edebiliriz. Bunun için sırasıyla şu konfigürasyonu yapmamız yeterlidir; 1. Network Monitor açılır. 2. Capture menu üzerinde Filter seçeneği tıklanır. 3. Network Monitor’ ün nonpromiscuous versiyonu (Windows Server 2003 ile beraber gelen) kullanılıyorsa Microsoft Network Monitor security dialog kutusunda OK’ e basılır. 4. Açılan pencerede SAP/ETYPE=Any SAP or Any ETYPE tıklanır. 5. Edit tıklanarak Disable All tıklanır ve default seçili olan tüm protokollerin disable olması sağlanır.
Disabled Protocols listesinde, NetBios seçilir ve Enable tıklanır. Capture Filter SAPs and ETYPEs dialog kutusunu kapatmak için OK’ e tıklanır. Capture Filter dialog kutusunu kapatmak için OK’ e tıklanır. Start, stop ve View the Capture butunlarına basılarak Capture filtreleme işlmei gerçekleştirilir. 10. The Network Monitor Capture Summary penceresi Capture edilen framelerin özet bilgilerini gösteren penceredir. 6. 7. 8. 9.
Picture file name: netmon16.tif
Picture file name: netmon17.tif
Picture file name: netmon18.tif
Picture file name: netmon19.tif
b) Adres ile Filtreleme Kendi bilgisayaramızdan diğer bilgisayarlara giden ya da diğer bilgisayarlardan bizim bilgisayarımıza gelen network trafiğini de Capture filtreleme ile monitor edebiliriz. Bunun için Adres bazında Capture Filtreleme kullanılr. Bu şeklde 4 adres çiftini aynı anda monitor edebiliriz. Bir adres çifti yaratmak için şu bilgilere sahip olmamız gerekir. 1. Aralarındaki network trafiği monitor edilecek olan 2 bilgisayraın adresleri. 2. Monitor edilmek istenen trafiğin yönü (örneğin; 1. bilgisayardan 2. bilgisayara) 3.
INCLUDE veya EXCLUDE seçenekleri, Network Monitor’ ün birden fazla filtreleme söz konusu olduğunda hangisini baz alarak nasıl bir sonuç vereceğini belirlemek için kullanılır.
Capture Filtre kutusunda hangi opsiyon görünürse görünsün Exclude seçeneği her zaman önceliklidir. Bu yüzden Exclude ve Include seçeneklerinden her ikisini de içeren filtreleme işleminde bir frame exclude durumu ile karşılaşırsa bu frame exclude edilerek Include durumu gözardı edilir. Örneğin comp1 makinasından gelen trafiği Capture etmek istersek ve fakat comp1 makinasından comp2 makinasına giden trafiği bu Capture işleminin dışında tutmak istersek Address Expression bölümünde şöyle bir ayarlama yapmamız gerekir.
include Comp1 <----> Any exclude Comp1 <----> Comp2 Eğer INCLUDE seçeneğini kullanmayı tercih etmez isek , Comp1 <----> Any implicitly (dolaylı) olarak kullanılmış olur.
Picture file name: netmon20.tif
MAC Adresini Öğrenmek (Media Access Control Address) Monitor edilecek bilgisayar çalışır durumda iken, 1. 2. 3. 4. 5.
MS-DOS tabanlı network istemcilerinde, istemci bilgisayarında komut satırında MSD çalıştırılarak. Windows for Workgroups 3.11 (TCP/IP kurulu), komut satırında IPCONFIG /ALL komutu çalıştırılarak. Windows 95 kurulu bilgisayarlarda komut satırında WINIPCFG komutu çalıştırılarak. MacOS, işletim sistemine sahip bilgisayarlarda Appletalk Control Panel’ i açılır, Edit Menu User Mode seçilir, mode Advanced olarak değiştirilir. Appletalk Control Panel’ deki Info butonu kullanabilir hale gelir. MAC adresi bu butondan öğrenilebilir. Windows NT’ de, local konsolda şu opsiyonlardan biri sayesinde öğrenilebilir.
a. b. c. d. e. f. g.
Komut satırında NET CONFIG SERVER komutu çalışıtırılarak. Komut satırında IPCONFIG /ALL komutu çalışıtırılarak. Komut satırında IPXROUTE config komutu çalışıtırılarak. Komut satırında arp -a komutu çalışıtırılarak. Windows NT Resource Kit’ te Getmac.exe çalıştırılarak. WinMSD Windows NT’ de uzaktan Windows NT Resource Kit’ teki Getmac.exe çalıştırılarak.
Picture file name: netmon21.tif c) “Data Pattern” ile Filtreleme Spesifik bir data pattern’ i belirleyerek, bu spesifik pattern’ i oluşturan hexadecimal ya da ASCII data’ ları içeren frameleri Capture edebiliriz. Frame’ ler için arama yapılırken bu spesifik pattern’ i kullanabiliriz.
“Pattern Match” penceresi Bu pencerede belirelenen hexadecimal ya da ASCII data değerleri sayesinde sadece bu data pattern’ lerini içeren framler Capture edilebilir. Bu belirlenen pattern’ in frame’ in başlangıcında mı yoksa başlangıçtan itibaren kaç byte’ tan sonra geldiği bilgisi buraya girilir. Buradaki controller şunlardır. Pattern (Şablon): Frame’leri Capture ederken kullanılacak Hexadecimal ya da ASCII data pattern’ idir. Hex: Belirlenen pattern’ in Hexadecimal formatta olması durumunda kullanılır. Default seçenektir. ASCII: Belirlenen pattern’ in ASCII formatta olması durumunda kullanılır. Offset (in hex): Aramanın başlayacağı Hexadecimal sayıdır. Network Monitor bu sayıyı From Start Of Frame ya da From End Of Topology Header seçeneğine göre dikkate alır.
From Start of Frame: Belirlenen pattern Frame’ in başlangıcından itibaren aranacaktır. Bu default seçenektir. From End of Topology Header: Belirlenen pattern Topoloji Header’ ının sonundan itibaren aramaya başlanır.
Picture file name: netmon22.tif
WAN Ortamındaki Bilgisayarları İzlemek LAN ortamında Network Monitor’ ün kurulu olduğu bilgisayardan bu bilgisayar ile bağlı olduğu tüm fiziksel networkteki bilgisayarlar arasındaki trafiği monitor edebiliyorduk. Ancak bazı durumlarda bizden Router’ lar ile ayrılmış iki ayrı networkü (WAN) izlememiz beklenebilir. Bu durumlarda biz IT profesyonellerinin yapması gereken Network Monitor’ ün kurulu olduğu bilgisayar ile bu bilgisayara en yakın Router arasındaki trafiği analiz etmektir. Analiz sonucu paketlerin Router’ lar arasında drop olduğu sonucuna varırsak bunu önlemek ve her iki Router üzerinden tracing yapabilmek için her iki bilgisayar üzerindeki sistem saatlerini senkronize etmemiz gerekecektir. Aşağıdaki sistem saatlerinin senkronizasyon adımları sıralanmıştır:
1. Sistem saatinin senkronize olacağı karşı bilgisayar seçilir. 2. Diğer bilgisayar üzerindeki komut satırında şu komut çalıştırılır:
net time \\ComputerName /set /yes “ComputerName” adım 1. deki karşı bilgisayarın adıdır.
3. Her iki bilgisayarın komut satırında Time komutu çalıştırılarak sistem saatlerinin senkronize olduğu kontrol edillir. 4. Trace işlemine yeniden başlanır.
Picture file name: netmon23.tif
3. Capture Triggers Capture Trigger yani Capture Tetikleme işlemi Network Monitor’ ün networkteki herhangi bir event’ e otomatik olarak cevap vermesidir. Default kurulumda herhangi bir Trigger ayarlanmış değildir. Capture Trigger kullancıının ihityaçlarına gör daha sonradan ayarlanabilen bir opsiyondur. Trigger Tipleri Netwok Monitor, Capture buffer’ ın ne kadarının dolduğunu, belli bir şablon data (pattern) monitor edilip edilmediğini algılayabilir. Bu ve benzeri kriterleri Capture Trigger sayesinde oluşturabilir ve Network Monitor’ ün bu kriterlere göre otomatik hareket etmesini ve işlemler yapmasını sağlayabiliriz. Örneğin Netwok Monitor sizin daha önceden belirlediğiniz bir şablona uygun bir Frame ile karşılaştığında yine önceden belirlenen bir trigger’ ın çalışmasını sağlayabilirsiniz. Bu şablon bir ASCII ya da bir hexadecimal string içerebilir. Capture buffer büyüklüğünün belli bir orana geldiğinde devreye giren bir trigger da konfigüre edebiliriz. Network Monitor’ ün frame’ lerde belirlediğiniz şablonlar için arama yaparken frame’ inbaşından ya da sonundan aramaya başlaması için de ayarlamalar bulunmaktadır. Default olarak Network Monitor şablonları frame’ in tümünde arar.
Trigger İşlemleri Belirlediğimiz Trigger kriterlerine uygun durumlar ortaya çıktığında hangi eylemlerin devreye gireceğini seçebiliriz: • • •
Bilgisayarın beep sesi vermesi Network Monitor’ ün Capture işlemini sona erdirmesi Önceden belirlenen bir komutun çalıştırılması
Bir programın çalışmasını tetiklemek için programın ismi ve çalıştırılacağı path’ i girmemiz gerekir ya da bu işlemi browse penceresini kullanarak programın dosyasını gösterebiliriz. Copy gibi bir MS-DOS komutunu kullanabilmek için ise CMD /K ile birlikte kullanmak istediğimiz komutu yazabiliriz. Capture Trigger ayarları 1. Network Monitor açılır 2. Kullanılmak istenen network adaptor’ ü seçilir. 3. Capture menu’ deki Trigger tıklanır. 4. Aşağıdaki Trigger Kriterlerinden biri seçilir: • Belli bir ASCII veya hexadecimal string’ in capture edilen frame’ de bulunması halinde trigger’ ın çalışmaya başlaması için Pattern match seçilir. Pattern kutusuna Network Monitor’ ün algılamasını istediğiniz şablonun hexadecimal veya ASCII string’ i girilir. Eğer istenirse Network Monitor’ ün şablonu nerede arayacağı da belirtilebilir. •
Buffer doluluk oranı yüzde olarak belli bir seviyeye ulaştığında trigger’ in devreye girmesini sağlayabiliriz. Bunun için dialog kutusundaki Buffer Space bölümünde buffer dololuk oranı yüzde olarak belirlenir.
•
Network Monitor’ ün buffer doluluk oranı belli bir seviyenin üstüne çıktıktan sonra bir frame içerisinde daha önceden belirlediğimiz bir şablonu aramaya başlamasını istiyorsak Buffer Space ve Pattern Match bölümlerini buna uygun olarak istediğimiz şekilde doldurabiliriz.
•
Arama sonucu spesifik bir Pattern, frame içerisinde bulunduktan sonra Buffer oranı full olduysa bu durum için de Netwok Monitor için bir trigger ayarlayabiliriz.
Ayarladığımız bu Trigger’ lardan vazgeçmek için ayarları set ettiğimiz bölümde Nothing’ i tıklamamız yeterlidir. Trigger Eylemleri
•
Bilgisayardan beep sesi gelmesi için Audible Signal Only seçilir.
•
Capture işlemini durdurmak için Stop Capture seçilir
•
Bir programın çalışmasını tetiklemek için programın ismi ve çalıştırılacağı path’ i girmemiz gerekir ya da bu işlemi browse penceresini kullanarak programın dosyas gösterilir. Copy gibi bir MS-DOS komutunu kullanabilmek için ise CMD /K ile birlikte kullanmak istediğimiz komutu yazılır.
Picture file name: netmon24.tif
Picture file name: netmon25.tif
Source address: Frame’ in geldiği bilgisayarın network adaptor’ ünün MAC adresidir. Destination address: Frame’ i kabul edeceği düşünülen bilgisayarın network adaptor’ ünün MAC adresidir. Bu adres tek bir network adaptor’ üne ya da bir grup adaptor’ e ait olabilir. Header information: Frame’ i gönderirken kullanılan herbir protocol bilgisi burada bulunur. Data: Gönderilmek istenen data.
Network Monitor Kullanım Alanları Network Monitor’ u kullanabileceğimiz en önemli nokta yerel ağımızdaki problemlerin tespiti ve ağdaki network trafiğinin izlenmesidir. İki bilgisayar arasındaki network bağlantısındaki problemleri Network Monitor kullanarak bulabiliriz. Ayrıca ağdaki network trafiğini izleyerek frame’ lerin içindeki bilgileri görebiliriz. Diğer bir kullanım alanı da network trafiğimizin performansıdır kullanılan network cihazları ve network alt yapımızın performansını Netwrok Monitor kullanarak analiz edebiliriz. Network monitor kullanımına bir başka örnek ise Network’ ümüzde yer alan ancak Network Monitor2 ü kuramadığımız cihazların performanısı kontrol etmek ve sorunları ortaya çıkarmaktır ancak bunun için yukarıda belirttiğimiz gibi Microsoft System Management Server ile birlikte gelen Network Monitor’ ü kullanmamız gerekir. Özetle Network Monitor’ ün kullanımını şu başlıklar halinde sıralayabiliriz:
1. Client-Server bağlantı sorunlarının bulunması ve çözümü 2. Networkteki gereksiz yere ve fazla sayıda servis talebinde bulunan bilgisayarları ayırt etmek için 3. Networkteki paketleri (frame) yakalamak ve monitor etmek 4. Yakalanan paketleri filtrelemek, göstermek ve analiz etmek 5. Networkteki yetkisiz kullanıcı ve bilgisayarları ayırt etmek
Picture file name: netmon0.tif
Network Monitor Kurulumu Network Monitor’ ün iki ayrı versiyonu olduğuna yukarıda değinmiştik. Bu iki versiyon, Promiscuous Mode ve Nonpromiscuous Mode olarak adlandırılır. 1.
Promiscuous Mode’ da network adaptor sadece kendisine gelen ya da kendisinden giden paketleri değil, fiziksel olarak bağlı olduğu networkteki tüm paketleri okur ve izlemeye alabilir. Promiscouos Mode’ u kullanmadan önce şirketimizdeki ya da organizasyonumuzdaki güvenlik politikalarının böyle bir aracı kullanmamıza izin verip vermediğini araştırmamız tavsiye edilir Network Monitor’ ü Promiscouos Mode’ da kullanmak için bu mode’ u destekleyebilen bir network adaptor’ e ihtiyacımız vardır. Genellikle çoğu adaptor bu mode’ u desteklemektedir. Daha önce de belirtttiğimiz gibi sadece System Management Server (SMS) ürünü içerisinden çıkan Network Monitor Tool’ u Promiscouos Mode’ u desteklemektedir. Windows Server 2003 , Windows 2000 Server ve Windows NT Server işletim sistemleri ile birlikte gelen Network Monitor ise güvenlik gereklilikleri yüzünden Promiscouos Mode’ u desteklememektedir.
2.
Nonpromiscuous Mode ise network adapter’ ün sadece Network Monitor’ ün kurulu ve çalışır olduğu bilgisayardan giden ve bu bilgisayara gelen network trafiğini capture edebildiği mode’ dur.
Kurulum Aşamaları
1. Network Monitor’ ü kuracağımız bilgisayara Local Administrator kullanıcı hesabı ile Logon olunur.
2. Control Panel’ deki Add or Remove Programs tıklanır. 3. Add or Remove Programs penceresinde Add/Remove Windows Components kutusu tıklanır ve beklenir.
4. Windows Components Wizard dialog kutusunda sırasıyla Management and Monitoring Tools ve Details bölümleri tıklanır.
5. Subcomponents of Management and Monitoring Tools bölümünde Network Monitor 6.
Tools seçilir ve OK’ e tıklanır. Next’ e tıklanır ve Windows Server 2003 CD’ si takılarak kurulumun tamamlanması beklenir.
Picture file name: netmon1.tif
Picture file name: netmon2.tif
Network Monitor Driver Kurulumu
1. Start, Settings ‘den Network Connections açılır. 2. Network Connections bölümünde, Local Area Network Connection sağ tıklanıp 3. 4. 5. 6.
Properties seçilir. Local Area Connection Properties dialog kutusunda Install tab’ ıseçilir. Select Network Component Type dialog kutusunda, Protocol ve Add sırasıyla tıklanır. Select Network Protocol dialog kutuusnda Network Monitor Driver seçilir ve OK’ tıklanır. Kurulum dosyalarının yeri istendiğinde işletim sisteminin kurulum CD’ si takılıp ilgili path seçilir (\i386).
Picture file name: netmon3.tif
Picture file name: netmon3a.tif
Picture file name: netmon4.tif
Picture file name: netmon5.tif
Picture file name: netmon6.tif
Picture file name: netmon7.tif
Network Trafiği’ nin Monitor Edilmesi Aşamaları Network Trafiğinin fotoğrafının çekilmesi: Capture Spesifik paketlerin seçilerek capture işleminin bunlara göre yapılması: Capture Filtreleme 3. Paketlerin farklı protokollere göre çözülmesi 4. Network istatistiklerinin derlenmesi 1. 2.
1. Network Paketlerinin Yakalanması (Capture) Network Monitor frame’ leri yakalarken bunları kendi mantıksal dizilişine dönüştürürerek bizim bu datayı analiz edebilmemizi sağlar. Bir LAN kartına gelen ve giden frame’ lerin yakalanarak kopyalanmasına capture denir. Network Monitor ile network kartına gelen tüm paketleri yakalayabileceğimiz gibi önceden belirlediğimiz filtre’ ler (capture filtre) sayesinde belli frame topluluklarını da capture edebiliriz. Capture işlemi network kartının algıladığı belli event’ ler için de tetiklenebilir örneğin network kartına gelen belli bir frame seti için bilgisayarımızın kapanmasını sağlayabiliriz.
Network Monitor kullanılarak capture işleminin başlatılması: 1. Network Monitor açılır. 2. Kullanılmak istenen network adaptor’ ü seçilir. 3. Toolbar’ daki Start Capture butonuna basılralara capture işlemi başlatılır. 4. Capture işlemini durdurmak için Stop’ a ardından da View Capture’ a basılır. 5. Capture penceresi kapatılmaz.
Picture file name: netmon8.tif Network Monitor Capture işlemi komut satırından da kullanılabilir. Örneğin ftp_capture.cf gibi bir filtre dosyası oluşturmuş olalım bu hazır filtreyi kullanarak capture işlemini başlatmak için; start netmon /capturefilter c:\captures\http.cf komutunu çalıştırmamız yeterlidir. Network Monitor’ ü kullanarak herhangi bir networkte deneme amaçlı bile olsa yapacağımız bir capture işlemi sonucunda en son capture işlemine ait özet bilgiler Network Monitor Capture Summary penceresinde (Özet Bilgi Ekranı) görüntülenir. Özet bilgi ekranı Capture edilen frame’ lerin kronolojik bir listesini gösterirken herbir frame için ayrıntılı olarak aşağıda açıklanan bilgileri de listeleyebilmektedir. Frame: Capture işlemi sonucunda yakalanan Frame sayısı. Time: Frame’ in Capture işlemi için geçen süre (saniye olarak).
Src MAC Addr: Frame’ in geldiği yöndeki network adaptorü’ nün MAC adresi ya da eğer çözmlenebilmiş ise NetBios adı. Network Monitor’ ün kurulu olduğu bilgisayar için bu adres LOCAL olarak görülür. Dst MAC Addr: Frame’ i alan yöndeki network adaptorü’ nün MAC adresi ya da eğer çözmlenebilmiş ise NetBios adı. Protocol: Frame’ deki baskın protokol. Herbir Frame OSI Modeli’ ndeki herbir katman için sıralanmış tüm protokollerin oluşturduğu bilgileri içerebilir. Description : Frame’ in amacı. Protokol bölümündeki bilgiyi kullanarak oluşturulur. Src Other Addr: Frame’ i gönderen yöndeki bilgisayarı ayırt etmemizi sağlayan başka bir bilgisayar var ise bu bilgisayarın adresi. Dst Other Addr : Frame’ I alan yöndeki bilgisayarı ayırt etmemizi sağlayan başka bir bilgisayar var ise bu bilgisayarın adresi (IP adresi olabilir). Type Other Addr Src Other Addr ve Dst Other Addr bölümlerdeki adreslerin tiplerini belirten bölüm.
Picture file name: netmon9.tif
“Capture Buffer” Ayarları 1. Network Monitor açılır. 2. Default olarak Capture edilen local network connection data’ sı seçilir.
3. Capture menu’ den Buffer Settings seçilir. 4. Maksimum Capture buffer büyüklüğü seçilir. Eğer gerekliyse Capture edilecek maksimum frame büyüklüğü de buradan belirlenebilir OK ‘e basılır. 5. Bu task’ ı gerçekleştirebilmek için Local Administrators Grubunda ya da Active Directory Domain ortamında Domain Admins grubunda olmak gerekir. Önemli: Eğer buffer ayarları sistemdeki available memory’ i aşar ise frame’ ler drop olabilir.
Picture file name: netmon10.tif
Netwok Monitor Pencere ve İstatistikleri Capture işlemi sonucu elde edilen data, Network Monitor’ de grafiksel ve istatistik bilgileri olarak görülür. Şimdi bu ekrandaki pencerelerin herbirini ve istatistiklerin ne anlama geldiğini ayrıntılı olarak inceleyelim;
A. Graph: Bilgisayarımıza gelen ve bilgisayarımızdan giden frameleri grafiksel olarak gösteren bölüm. % Network Utilization Capture işlemi için kullanılan network adaptor’ün performans kriterlerinden biridir. Bu yüzde, network adaptor’ ün frame’leri alıp gönderme oranının frameleri işledi maksimum orana bölümü ile bulunur.
Frames Per Second Network adaptor’ ün her bir saniyede Capture ettiği frame sayısıdır.
Bytes Per Second Network adaptor’ ün her bir saniyede Capture ettiği byte miktarıdır.
Broadcasts Per Second Network adaptor’ ün her bir saniyede Capture ettiği broadcast’ lerin sayısıdır..
Multicasts Per Second Network adaptor’ ün her bir saniyede Capture ettiği multicast’lerin sayısıdır.
Picture file name: netmon11.tif
B. Session Statistics: Farklı oturumların istatistiklerinin gösterildiği bölüm. Network Monitor yalnızca ilk 100 farklı oturumun istatistiklerini çıkartabilir.Bu yüzden spesifik bir client makinası için bir Capture filtre dizayn etmemiz gerekir. İstatistikleri sonraki 100 farklı oturum içinde çıkartabilmek için mevcut istatistikleri resetlememiz gerekir. Sonraki oturumları resetlemek ve bu oturumlarla ilgili bilgileri görebilmek için Capture menu’ den Clear Statistics komutuna tıklamamız yeterlidir. Genel olarak bütün network adaptor’ leri aşağıdaki istatistik bilgilerini gösterebilmektedirler. Eğer bazı istatistik bölümlerinde değer olarak Unsupported görünüyorsa network adaptor’ ünün bu istatistiği desteklemediği anlamına gelir.
Network Address 1 Bir network oturumunda taraflardan birincisine ait network adresidir..
Network Address 2 Bir network oturumunda taraflardan ikincisine ait network adresidir.
1 --> 2 Network Address 1 kolonunda listelenen adreslerden Network Address 2 kolonunda listelenen adreslere gönderilen framelerin sayısıdır.
1 <-- 2 Network Address 2 kolonunda listelenen adreslerden Network Address 1 kolonunda listelenen adreslere gönderilen framelerin sayısıdır.
Picture file name: netmon12.tif
C. Station Statistics: Bilgisayarımıza gelen ve bilgisayarımızdan giden framelerin istatistiklerini gösteren bölüm. Network Address Frame’ lerin Capture edildiği bilgisayarın network adaptor adresi.
Frames Sent Network Address kolonunda listelenen adreslerden biri tarafından gönderilen frame’ lerin sayısı.
Frames Rcvd Network Address kolonunda listelenen adreslerden biri tarafından alınan frame’ lerin sayısı.
Bytes Sent Network Address kolonunda listelenen adreslerden biri tarafından gönderilen byte’ ların sayısı.
Bytes Rcvd
Network Address kolonunda listelenen adreslerden biri tarafından alınan byte’ ların sayısı.
Directed Frames Sent Network adresinden gönderilen Boradcast ve Multicast olmayan framelerin sayısı.
Multicasts Sent Network Address kolonundaki adreslerin “FFFFFFFFFFFF” kullanarak belli bir grup bilgisayara gönderdikleri frame’ lerin gönderilme sayısı.
Broadcasts Sent Network Address kolonundaki adreslerinnetworkteki bilgisayarlara gönderdikleri frame’ lerin gönderilme sayısı.
Picture file name: netmon13.tif
D. Total Statistics: Capture işleminin başlamasından bu yana bilgisayarımıza gelen ve bilgisayarımızdan giden framelerin özet istatistiklerini gösteren bölüm. Network Statistics Capture işlemi başalatıldığından beri Network Monitor’ ün kurulu olduğu bilgisayardan gönderilen ve bu bilgisayara gelentoplam tafiğin sayısı ile ilgili istatistiklerdir.
•
Local makina için gönderilen ve gelen frame’ lerin sayısı.
•
Local makina için gönderilen ve gelen broadcast’ lerin toplam sayısı.
•
Local makina için gönderilen ve gelen multicast’ lerin toplam sayısı.
•
Local makina için gönderilen ve gelen toplam byte’ ların sayısı.
•
Drop olmuş frame’ lerin toplam sayısı.
•
Network durumu; Ethernet networklerinde her zaman için Normal durumundadır. Token Ring networklerinde ise local olarak token’ ın durumunu gösterir.
Captured Statistics Mevcut Capture işlemine toplam istatistikleri gösterir.
•
Capture edilmiş toplam frame’ ler.
•
Geçici olarak kullanılan Capture dosyasındaki framlerin toplam sayısı.
•
Buffer size’ ı aşıldığı drop olmuş toplam frame’ lerin sayısı.
•
Capture edilmiş toplam byte.
•
Geçici olarak kullanılan Capture dosyasındaki framlerin toplam byte.
•
Kullanılan Buffer alanının yüzdesi.
•
Network Monitor’ ün drop ettiği frame’ lerin sayısı.
Per Second Statistics Capture edilen Frame’ ler için saniye başına düşen ortalama istatistikleri gösterir. Bu ekrandaki istatistikler Capture filter tarafından dışlanan frame’ler dahil bütün frame’ leri içerir.
•
Capture işlemi başladığından beri saniye başına düşen ortalama frame sayısı.
•
Capture işlemi başladığından beri saniye başına düşen ortalama byte sayısı.
•
Capture işlemi başladığından beri saniye başına düşen ortalama broadcast mesajlarının sayısı.
•
Capture işlemi başladığından beri saniye başına düşen ortalama multicast mesajlarının sayısı.
•
Network Monitor’ ün yüzde kullanım istatistikleri. Bu istatistik o andaki Capture işleminin network adaptorunun kapasitesinin yüzde olarak ne kadarını kullandığını gösterir
Network Card (MAC) Statistics
Bu istatistikler Capture işlemi başladığından beri network adaptor’ üne gelen bütün network aktivitesini gösterir.
•
Network adaptor’ ü tarafından detect edilmiş toplam frame’ ler.
•
Network adaptor’ ü tarafından detect edilmiş broadcast’ ler.
•
Network adaptor’ ü tarafından detect edilmiş toplam multicast’ ler.
•
Network adaptor’ ü tarafından detect edilmiş toplam byte.
Network Card (MAC) Error Statistics Bu istatistikler Capture işlemi başladığından beri network adaptor’ ünü ilgilendiren bütün error’ ları network aktivitesini gösterir.
•
Cyclical redundancy check (CRC) için olması gereken size’ ın gelen CRC size ile uyuşmadığı durumlarda oluşan hataların sayısıdır.
•
Network adaptor’ ün detect ettiği fakat Network Monitor yeterli buffer alanı sağlayamadığı için drop olan frame’ lerin sayısı.
•
Network adaptor’ ün detect ettiği fakat harware problemlerinden dolayı drop olan frame’ lerin sayısı.
Picture file name: netmon14.tif
2. Capture Filtreleme Capture Filtreleme işlemini önceden belirlenmiş bir data seti ya da bir bilgisayar grubu için tanımlanan bir database sorgusu olarak düşünülebiliriz. Filtreleme için kullanacağımız bir adres database’ i yaratıp filtrelemek istediğimiz adresleri bu database’ e ekleyebilir ve bu database’i daha sonra da kullanabilmek için save edebiliriz. Capture Filtreleme kullanarak belli bir tipteki network bilgisine ihtiyacımız olduğunda hem buffer kaynaklarını hem de zamanımızı daha az harcayarak istediğimiz bilgiye ulaşmamız mümkündür.
Capture Filtreleme işlemi için Capture Filtre dialog kutusu kullanılır. Bu kutu filtereleme dizaynını ve mantığını grafiksel olarak gösteren bir ağaç yapısıdır. Bu sayede Capture Filtrelemeye eklediğiniz yeni kısıtlamalar ya da genişletmeler bu ağaç benzeri yapıda görünür..
Picture file name: netmon15.tif
a) Protokol ile Filtreleme
Capture işlemi ile ilgili detayları gördükten sonra bu kadar detaylı bir aracı ihtiyaçlarımız doğrultusunda etkin bir şekilde kullanabilmek için Capture filtreleme özelliğini mutlaka kullanmamız gerekir. Çünkü networkümüzde bulunan sıradan bir role sahip bir bilgisayar için bile birkaç saniyeliğine networkü Capture edersek takip edemeyeceğimiz sayıda çok sistem tarafından gönderilen framleri yakalamış oluruz. Bu analizimizi oldukça zorlaştırır ve vakit kaybına neden olur. Oysa ki, sadece NetBios trafiğini takip etmek üzere yaratacağımız bir filtreleme sayesinde spesifik olarak sadece NetBios transaction’ larını Capture edebiliriz. Bunun için sırasıyla şu konfigürasyonu yapmamız yeterlidir; 1. Network Monitor açılır. 2. Capture menu üzerinde Filter seçeneği tıklanır. 3. Network Monitor’ ün nonpromiscuous versiyonu (Windows Server 2003 ile beraber gelen) kullanılıyorsa Microsoft Network Monitor security dialog kutusunda OK’ e basılır. 4. Açılan pencerede SAP/ETYPE=Any SAP or Any ETYPE tıklanır. 5. Edit tıklanarak Disable All tıklanır ve default seçili olan tüm protokollerin disable olması sağlanır.
Disabled Protocols listesinde, NetBios seçilir ve Enable tıklanır. Capture Filter SAPs and ETYPEs dialog kutusunu kapatmak için OK’ e tıklanır. Capture Filter dialog kutusunu kapatmak için OK’ e tıklanır. Start, stop ve View the Capture butunlarına basılarak Capture filtreleme işlmei gerçekleştirilir. 10. The Network Monitor Capture Summary penceresi Capture edilen framelerin özet bilgilerini gösteren penceredir. 6. 7. 8. 9.
Picture file name: netmon16.tif
Picture file name: netmon17.tif
Picture file name: netmon18.tif
Picture file name: netmon19.tif
b) Adres ile Filtreleme Kendi bilgisayaramızdan diğer bilgisayarlara giden ya da diğer bilgisayarlardan bizim bilgisayarımıza gelen network trafiğini de Capture filtreleme ile monitor edebiliriz. Bunun için Adres bazında Capture Filtreleme kullanılr. Bu şeklde 4 adres çiftini aynı anda monitor edebiliriz. Bir adres çifti yaratmak için şu bilgilere sahip olmamız gerekir. 1. Aralarındaki network trafiği monitor edilecek olan 2 bilgisayraın adresleri. 2. Monitor edilmek istenen trafiğin yönü (örneğin; 1. bilgisayardan 2. bilgisayara) 3.
INCLUDE veya EXCLUDE seçenekleri, Network Monitor’ ün birden fazla filtreleme söz konusu olduğunda hangisini baz alarak nasıl bir sonuç vereceğini belirlemek için kullanılır.
Capture Filtre kutusunda hangi opsiyon görünürse görünsün Exclude seçeneği her zaman önceliklidir. Bu yüzden Exclude ve Include seçeneklerinden her ikisini de içeren filtreleme işleminde bir frame exclude durumu ile karşılaşırsa bu frame exclude edilerek Include durumu gözardı edilir. Örneğin comp1 makinasından gelen trafiği Capture etmek istersek ve fakat comp1 makinasından comp2 makinasına giden trafiği bu Capture işleminin dışında tutmak istersek Address Expression bölümünde şöyle bir ayarlama yapmamız gerekir.
include Comp1 <----> Any exclude Comp1 <----> Comp2 Eğer INCLUDE seçeneğini kullanmayı tercih etmez isek , Comp1 <----> Any implicitly (dolaylı) olarak kullanılmış olur.
Picture file name: netmon20.tif
MAC Adresini Öğrenmek (Media Access Control Address) Monitor edilecek bilgisayar çalışır durumda iken, 1. 2. 3. 4. 5.
MS-DOS tabanlı network istemcilerinde, istemci bilgisayarında komut satırında MSD çalıştırılarak. Windows for Workgroups 3.11 (TCP/IP kurulu), komut satırında IPCONFIG /ALL komutu çalıştırılarak. Windows 95 kurulu bilgisayarlarda komut satırında WINIPCFG komutu çalıştırılarak. MacOS, işletim sistemine sahip bilgisayarlarda Appletalk Control Panel’ i açılır, Edit Menu User Mode seçilir, mode Advanced olarak değiştirilir. Appletalk Control Panel’ deki Info butonu kullanabilir hale gelir. MAC adresi bu butondan öğrenilebilir. Windows NT’ de, local konsolda şu opsiyonlardan biri sayesinde öğrenilebilir.
a. b. c. d. e. f. g.
Komut satırında NET CONFIG SERVER komutu çalışıtırılarak. Komut satırında IPCONFIG /ALL komutu çalışıtırılarak. Komut satırında IPXROUTE config komutu çalışıtırılarak. Komut satırında arp -a komutu çalışıtırılarak. Windows NT Resource Kit’ te Getmac.exe çalıştırılarak. WinMSD Windows NT’ de uzaktan Windows NT Resource Kit’ teki Getmac.exe çalıştırılarak.
Picture file name: netmon21.tif c) “Data Pattern” ile Filtreleme Spesifik bir data pattern’ i belirleyerek, bu spesifik pattern’ i oluşturan hexadecimal ya da ASCII data’ ları içeren frameleri Capture edebiliriz. Frame’ ler için arama yapılırken bu spesifik pattern’ i kullanabiliriz.
“Pattern Match” penceresi Bu pencerede belirelenen hexadecimal ya da ASCII data değerleri sayesinde sadece bu data pattern’ lerini içeren framler Capture edilebilir. Bu belirlenen pattern’ in frame’ in başlangıcında mı yoksa başlangıçtan itibaren kaç byte’ tan sonra geldiği bilgisi buraya girilir. Buradaki controller şunlardır. Pattern (Şablon): Frame’leri Capture ederken kullanılacak Hexadecimal ya da ASCII data pattern’ idir. Hex: Belirlenen pattern’ in Hexadecimal formatta olması durumunda kullanılır. Default seçenektir. ASCII: Belirlenen pattern’ in ASCII formatta olması durumunda kullanılır. Offset (in hex): Aramanın başlayacağı Hexadecimal sayıdır. Network Monitor bu sayıyı From Start Of Frame ya da From End Of Topology Header seçeneğine göre dikkate alır.
From Start of Frame: Belirlenen pattern Frame’ in başlangıcından itibaren aranacaktır. Bu default seçenektir. From End of Topology Header: Belirlenen pattern Topoloji Header’ ının sonundan itibaren aramaya başlanır.
Picture file name: netmon22.tif
WAN Ortamındaki Bilgisayarları İzlemek LAN ortamında Network Monitor’ ün kurulu olduğu bilgisayardan bu bilgisayar ile bağlı olduğu tüm fiziksel networkteki bilgisayarlar arasındaki trafiği monitor edebiliyorduk. Ancak bazı durumlarda bizden Router’ lar ile ayrılmış iki ayrı networkü (WAN) izlememiz beklenebilir. Bu durumlarda biz IT profesyonellerinin yapması gereken Network Monitor’ ün kurulu olduğu bilgisayar ile bu bilgisayara en yakın Router arasındaki trafiği analiz etmektir. Analiz sonucu paketlerin Router’ lar arasında drop olduğu sonucuna varırsak bunu önlemek ve her iki Router üzerinden tracing yapabilmek için her iki bilgisayar üzerindeki sistem saatlerini senkronize etmemiz gerekecektir. Aşağıdaki sistem saatlerinin senkronizasyon adımları sıralanmıştır:
1. Sistem saatinin senkronize olacağı karşı bilgisayar seçilir. 2. Diğer bilgisayar üzerindeki komut satırında şu komut çalıştırılır:
net time \\ComputerName /set /yes “ComputerName” adım 1. deki karşı bilgisayarın adıdır.
3. Her iki bilgisayarın komut satırında Time komutu çalıştırılarak sistem saatlerinin senkronize olduğu kontrol edillir. 4. Trace işlemine yeniden başlanır.
Picture file name: netmon23.tif
3. Capture Triggers Capture Trigger yani Capture Tetikleme işlemi Network Monitor’ ün networkteki herhangi bir event’ e otomatik olarak cevap vermesidir. Default kurulumda herhangi bir Trigger ayarlanmış değildir. Capture Trigger kullancıının ihityaçlarına gör daha sonradan ayarlanabilen bir opsiyondur. Trigger Tipleri Netwok Monitor, Capture buffer’ ın ne kadarının dolduğunu, belli bir şablon data (pattern) monitor edilip edilmediğini algılayabilir. Bu ve benzeri kriterleri Capture Trigger sayesinde oluşturabilir ve Network Monitor’ ün bu kriterlere göre otomatik hareket etmesini ve işlemler yapmasını sağlayabiliriz. Örneğin Netwok Monitor sizin daha önceden belirlediğiniz bir şablona uygun bir Frame ile karşılaştığında yine önceden belirlenen bir trigger’ ın çalışmasını sağlayabilirsiniz. Bu şablon bir ASCII ya da bir hexadecimal string içerebilir. Capture buffer büyüklüğünün belli bir orana geldiğinde devreye giren bir trigger da konfigüre edebiliriz. Network Monitor’ ün frame’ lerde belirlediğiniz şablonlar için arama yaparken frame’ inbaşından ya da sonundan aramaya başlaması için de ayarlamalar bulunmaktadır. Default olarak Network Monitor şablonları frame’ in tümünde arar.
Trigger İşlemleri Belirlediğimiz Trigger kriterlerine uygun durumlar ortaya çıktığında hangi eylemlerin devreye gireceğini seçebiliriz: • • •
Bilgisayarın beep sesi vermesi Network Monitor’ ün Capture işlemini sona erdirmesi Önceden belirlenen bir komutun çalıştırılması
Bir programın çalışmasını tetiklemek için programın ismi ve çalıştırılacağı path’ i girmemiz gerekir ya da bu işlemi browse penceresini kullanarak programın dosyasını gösterebiliriz. Copy gibi bir MS-DOS komutunu kullanabilmek için ise CMD /K ile birlikte kullanmak istediğimiz komutu yazabiliriz. Capture Trigger ayarları 1. Network Monitor açılır 2. Kullanılmak istenen network adaptor’ ü seçilir. 3. Capture menu’ deki Trigger tıklanır. 4. Aşağıdaki Trigger Kriterlerinden biri seçilir: • Belli bir ASCII veya hexadecimal string’ in capture edilen frame’ de bulunması halinde trigger’ ın çalışmaya başlaması için Pattern match seçilir. Pattern kutusuna Network Monitor’ ün algılamasını istediğiniz şablonun hexadecimal veya ASCII string’ i girilir. Eğer istenirse Network Monitor’ ün şablonu nerede arayacağı da belirtilebilir. •
Buffer doluluk oranı yüzde olarak belli bir seviyeye ulaştığında trigger’ in devreye girmesini sağlayabiliriz. Bunun için dialog kutusundaki Buffer Space bölümünde buffer dololuk oranı yüzde olarak belirlenir.
•
Network Monitor’ ün buffer doluluk oranı belli bir seviyenin üstüne çıktıktan sonra bir frame içerisinde daha önceden belirlediğimiz bir şablonu aramaya başlamasını istiyorsak Buffer Space ve Pattern Match bölümlerini buna uygun olarak istediğimiz şekilde doldurabiliriz.
•
Arama sonucu spesifik bir Pattern, frame içerisinde bulunduktan sonra Buffer oranı full olduysa bu durum için de Netwok Monitor için bir trigger ayarlayabiliriz.
Ayarladığımız bu Trigger’ lardan vazgeçmek için ayarları set ettiğimiz bölümde Nothing’ i tıklamamız yeterlidir. Trigger Eylemleri
•
Bilgisayardan beep sesi gelmesi için Audible Signal Only seçilir.
•
Capture işlemini durdurmak için Stop Capture seçilir
•
Bir programın çalışmasını tetiklemek için programın ismi ve çalıştırılacağı path’ i girmemiz gerekir ya da bu işlemi browse penceresini kullanarak programın dosyas gösterilir. Copy gibi bir MS-DOS komutunu kullanabilmek için ise CMD /K ile birlikte kullanmak istediğimiz komutu yazılır.
Picture file name: netmon24.tif
Picture file name: netmon25.tif
Related Documents
Network Monitor V2
November 2019 9
Nagios Network Monitor 3.0
October 2019 21
Monitor
May 2020 23
Monitor
October 2019 45
Monitor
November 2019 31