Архив рубрики: Networking

>“Нюхаем” сеть без сниффера… Часть 2

>

MC91021636214Как я рассказывал в предыдущем эпизоде, я говорил, что сбор трафика с помощью netsh это не только ценный мех так же предоставляет нам море информации о системе, на которой мы его запускали. При запуске трассировки создается .cab файл, который содержит другие файлы: 33, чтобы быть точным (по крайней мере у меня получилось 33). Этифайлы предоставляют чертову уйму информации о сетевой конфигурации компьютера, а так же кое-какие логи. Давайте посмотрим на эти файлы:

1) adapterinfo.txt: информация о драйверах Ваших сетевых интерфейсов:

image

Может ли это быть полезным? Да легко. Например, если Вы видите драйвер, который старше Вас, то, может быть, самое время его обновить? Всяко разно, это хоть какая-то информация для начала поиска проблем.

2) dns.txt: в этом файле лежит вывод команды ipconfig /displaydns, в котором содержится кеш DNS-клиента

image

3) envinfo.txt: все, что Вы желали знать о Вашей беспроводной сети и даже больше. Драйверы, поддерживаемые методы аутентификации и протоколы шифрования, интерфейсы и их состояние, настройки WLAN, профли и прочее…

image

4) filesharing.txt: nbtstat –n, nbtstat –c, net config rdr, net config srv, net share

image

5) gpresult.txt: без комментариев

6) neighbors.txt: arp –a, netsh interface ipv6 show neighbors (вызывать netsh из netsh… матрешка, ага… ;) )

7) netiostate.txt: в моем случае тут настройки Teredo

image

8) osinfo.txt: на первый взгляд похоже на вывод команды systeminfo, но на самом деле немного другая информация, что не умаляет ее полезности

image

9) Report.etl: Какой-то трейс. Я туда еще не смотрел, но наверняка что-то полезное ;)

10) wcninfo.txt: информация обо всем беспроводном. Состояние служб, инфомация о файлах, ipconfig и всякое такое. 

image

11) wfpfilters.xml: Тут, похоже, лежит описание правил локального сетевого экрана в XML-формате

12) windowsfirewallconfig.txt: конфигурация того же файрвола. Включен ли он, его глобальные настройки и прочая и прочая

13) еще несколько файлов, которые содержат различные журналы событий, относящиеся к сети, а так же копии ветвей реестра и проччую информацию

image

14) Report.html: тут лежат линки ко всем описанным выше файлам – для удобства

image

Ну вроде бы и все. На самом деле, во время поиска корней той или иной проблемы я частенько был вынужден запрашивать то один, то другой кусочек данных, не имея возможности заранее предугадать в чем проблема и не рискуя требовать все сразу. Теперь я могу дать им всего две команды и получить все скопом, да еще и сетевой трафик записать. Я в восторге =)

Реклама

>“Нюхаем” сеть без сниффера…

>

MC910216362[1]Частенько при решении разнообразных проблем приходится анализировать сетевой трафик. Обычно это требует установки какой-нибудь программы типа NetMon, WireShark или чего-нибудь еще в том же стиле. И все бы ничего, когда бы это было всегда возможно и эффективно. А что если “на том конце” какой-нибудь “продажный менеджер”, который в упор не желает этим заниматься? Или политика безопасности запрещает ставить дополнительное ПО на сервер? Да и вообще для одного раза ставить какую-то софтину – не очень многим нравится такая идея.
В общем, как все уже догадались, решение есть. Я тут недавно прочитал в одном из блогов среди других не менее замечательных вещей (этот блог входит в топ-5 моих любимых, если вообще не самый интересный для меня, кстати) совершенно чумовую статью, в которой есть решение для такой проблемы.
В кратце, Вам более не нужно ставить, скажем, NetMon на W7/2008 R2, чтобы захватить трафик. Это можно сделать с помощью встроенной утилиты, а именно netsh. Правда, Вам все еще понадобятся
1) права локального администратора на исследуемом компьютере
2) NetMon, чтобы проанализировать полученные данные, после того, как их сбор будет завершен. Но его Вы можете использовать на любом другом компьютере. 
Как это работает? Просто превосходно ;)
1) Начинаем сбор:
netsh trace start capture=yes tracefile=<PathToFile>

image
2) Потом воспроизводим проблему. Я запустил свой chrome (слишком много вкладок открыто в IE ;) ) и сходил на сайт www.microsoft.com.
3) Останавливаем:
netsh trace stop
image
Обратите внимание, что трассировка создала два файла: .etl and .cab. ETL это как раз тот, в котором записаны наши пакетики. Второй… Это то, что даже добавляет “чудесности” этому методу, но мы обсудим его в следующей статье. 
4) Открываем наш файл на любом компьютере с помощью Network Monitor:
image
Ой… Что это с нашими парсерами? Если взглянуть поближе, то мы увидим следующее: 
Process: Windows stub parser: Requires full Common parsers. See the «How Do I Change Parser Set Options(Version 3.3 or before) or Configure Parser Profile (Version 3.4)» help topic for tips on loading these parser sets.
Что ж, очевидно, некоторые парсеры не подключены. Давайте это сделаем, благо, это легко (да, я использую NetMon 3.4). Идем в tools->options
image
Смотрим на вкладку Parser Profiles:
image
И включаем профиль Windows нажав на нем правой кнопкой и кликнув опцию Set As Active:
image
И вот теперь все кристально ясно:
image
5) Ну итеперь делаем все, что нам нужно с помощью NetMon, например, посмотрим на DNS-запрос от имени Chrome:
image
Ну не здорово ли? Точно здорово, потому что мы еще не смотрели на .cab-файл, который содержит тонны полезной информации… Но для этого я отвел следующую статью.