Комп’ютерні мережі. Аналіз роботи і оптимізація

1.  Пошук DHCP

2.  Пропозиція DHCP

3.  Запит DHCP

4.  DHCP АСК

Якщо один з чотирьох кадрів не присутній, то DHCP не працюватиме, а клієнт не зможе отримати адресу. Якщо немає жодного, то клієнт неправильно сконфігурований для запиту адреси DHCP. Вирішення проблем DHCP є процесом переглядання діалогу і ідентифікація того, що з діалогу, представленого вище, пропущено[2].

2.2.2 Аналіз діалогу  комп’ютерів у мережі

Перший крок полягає в перегляді трасування і пошуку пропущеного кадру. Кадр запиту DHCP посилається за допомогою багатоадресової розсилки UDP IP з порту 68 (клієнтський порт ВООТР), в порт 67( серверний порт ВООТР). Magic cookie будуть правильними. Це чотирьохбайтна область в пакеті DHCP, яка ідентифікує початок поля, означеного постачальником для спеціальних параметрів. Якщо використовується дане поле параметрів, це наголошується IP-адресою 99.130.83.99, яка показана в трасуванні Netmon як шістнадцяткова 63 82 53 63. Параметри можуть перелічувати ідентифікатор клієнта, запитану адресу, а також інші позиції. У нашому полі параметрів ідентифікатор клієнта рівний адресі MAC комп'ютера, що робить запит - в даному випадку KENNY. Також видно, що машина KENNY запрошує ту ж адресу, якою вона володіла раніше. Якщо ця адреса доступна, то її можна буде використовувати знову.

У трасуванні нижче запитана адреса недоступна, оскільки вона отримує NACK, що є негативним підтвердженням. Якщо розглянути частину IP в кадрі, то можна побачити машину, яка посилає цей NACK на робочу станцію. Це видно в тій частині пакету, що приходить з порту 67 (порту сервера ВООТР), в порт 68 (порт клієнта ВООТР). Коли робоча станція отримує NACK, вона не ініціалізує TСР/ІР, поки не отримає адресу. Якщо TСР/ІР є єдиним протоколом, машина не зможе спілкуватися в мережі, поки не буде виявлений сервер DHCP.

Оскільки клієнтська машина посилає запити DHCP і отримує NACK (відмову) з сервера DHCP, то можна сказати, що вони спілкуються. Факт, що машина посилає запити, є позитивним, оскільки вона робить все, що повинна робити клієнтська машина. Для перевірки можна використовувати команду ipconfig /renew з вікна CMD, що змусить клієнтську машину створити трафік DHCP. Це один із способів виконати передачу, не перезавантажуючи машину. У трасуванні Netmon повинні бути два кадри DHCP: запит DHCP і DHCP АСК (підтвердження).

У даному випадку трасуванням DHCP можна знайти тільки запити і один NACK і жодного іншого трафіку. Наступний крок полягає в переході до сервера і вивчення властивостей DHCP, де можна виявити, що сервер не має вільних адрес, або що область дії була деактивована. Це, дві найбільш поширені причини[2].

2.3 Визначення  швидкодії мережі

емає нічого незвичайного, коли користувачі скаржаться на те, що мережа працює поволі. Ці скарги мережеві адміністратори чують достатньо часто. Проте користувачі рідко висловлюють інші думки, крім загального спостереження, що мережа повільна. Раніше адміністратор приходив до користувача, спостерігав за його діями і погоджувався або не погоджувався з точністю спостережень. Це не кращий спосіб для нового тисячоліття. У нас є Netmon як засіб порятунку. Розглянемо приклад нижче, щоб зрозуміти, як Netmon працює в цій ситуації[1].

2.3.1 Засоби і  способи визначення швидкодії  мережі

Простим способом визначити швидкодію мережі є використання експерта середнього часу відповіді сервера, наявного в Netmon 2.0. Перш ніж використати експерта, необхідно перехопити деякий об'єм трафіку між сервером і клієнтською машиною, для цього необхідно сконфігорувати фільтр перехоплення, який ізолює трафік між робочою станцією і даним сервером. Це повинно бути зроблено після перевірки робочої станції на те, скільки в ній відкрито додатків, скільки є вільного простору на диску для віртуальної пам'яті, і т.д. Коли будуть виключені всі можливі проблеми робочої станції, можна починати перехоплення даних[1].

2.3.2 Виявлення  джерела впливу на швидкодію  мережі

Для аналізу швидкодії необхідно завантажити перехоплений файл в Netmon 2.0 і сконфігорувати експерт часу відповіді (рис.2.2). Конфігурація експерта є дуже важливою для отримання точних результатів. Якщо, наприклад, користувач скаржиться, що повільно працює пошта РОРЗ, то необхідно додати до експерта порт 110.

Змінюючи конфігураційні файли, експерт може повідомити про більшість додатків, що виконуються в мережі. Якщо видалити всі порти, окрім порту даної програми, будуть отримані різні показники продуктивності. Використання Netmon 2.0 в цій області майже не обмежене.

Рис. 2.2. Експерт середнього часу відповіді сервера.

Експерт створює звіт, перелічуючи IP-адреси і середній час відповіді в секундах, як показано на рис.2.3. Якщо результати відповідають базовим показникам, можливо, доведеться знову аналізувати робочу станцію і роботу певного користувача. Якщо вони дійсно повільні, то трасування вимагатиме додаткового аналізу. Звіт розподілу протоколів, звіт верхніх користувачів і експерт пересилки TCP можуть надати цінну допомогу при пошуку причини повільної роботи мережі. Крім перегляду на екрані звіти можна зберегти як текстові файли і роздрукувати або перетворити на файли інших форматів, наприклад файли Microsoft Word[7].

2.4 Причини помилок у журналі подій

Іноді у журналі виникають помилки подій. Однією з них є подія ID 2000, яка говорить Status_no_such_file. Ця подія відбувається, коли мережевий додаток посилає команду видалення файла на загальний диск, а файл вже був видалений. Тобто, в другому рядку розділу даних повідомлення про помилку буде c000000f, яке відповідає Status_no_such_file.

2.4.1 Метод пошуку  серверних проблем

Ця проблема пов'язана з SMB. Спочатку потрібно розглянути файл перехоплення. Для спрощення створюється фільтр виводу, який показує тільки команди SMB для видалення файлу. На рис.2.4 показано, як створюється цей фільтр виводу. Знаходячись в режимі виводу, вибирається фільтр з меню виводу (display), після подвійного клацання по рядку протоколу з'являється діалогове вікно вибору, де відключаються всі протоколи. Наступним кроком потрібно вибрати SMB із списку протоколів в правій панелі діалогового вікна, а потім клацнути по кнопці включити (enable). Далі перейти в розділ "S" списку протоколів. Це можна зробити активізувавши на панелі меню "name" і введення "S". В наслідок цього відбудеться переміщення в розділ "S", дозволяючи швидко знайти протокол SMB. Коли протокол SMB буде включений, потрібно знайти команду SMB delete. Щоб це зробити, потрібно вибрати закладку "property" і в ній знайти протокол SMB. Клацнувши на знаку "плюс" поряд з SMB, з'явиться список властивостей протоколу, серед яких потрібно вибрати "command" із діалогово вікна. Коли "command" буде вибрано, появиться список значень. У списку значень потрібно вибрати "delete file" і потім натиснути "ok". Цей фільтр виводу показує команди "SMB delete" будь-якого комп’ютера[6].

При перегляді кадрів "SMB delete" потрібно знайти повідомлення про помилку. Розглянемо взаємодію. Клієнтська машина посилає на сервер команду "C delete file". Параметри включають розміщення файлу.

Відповідь з сервера повертається в наступному кадрі який представлений в роздруківці нижче. В ньому команда "R delete file" з повідомленням про відсутність помилок. Фай успішно видалений з сервера.

В першому файлі перехоплених даних проблема не локалізована. Для того щоб знайти помилку необхідно, створити фільтр перехоплення, що перехоплюватиме тільки один тип пакетів. Щоб отримати необхідну інформацію, яка показана на рис. 2.5, необхідно знайти шаблон, який вказує команду "SMB delete". Як можна побачити з рис.2.6, вибір в панелі виводу командного рядка SMB виводить число 06 в шістнадцятковій панелі в рядку зсуву 03. У рядку статусу Netmon в нижньому правому кутку, точний зсув рівний Зе в шістнадцятковому вигляді. Тепер є зсув і шаблон для фільтру перехоплення команди "delete SMB".

2.4.2 Фільтр перехоплення, та його використання

Виконання програми Netmon можна спланувати за допомогою команди AT яка вводиться у консолі cmd. Оскільки використовується спеціалізований фільтр перехоплення за допомогою якого можна визначити достатньо великий буфер перехоплення, то йому необхідно задати виконання протягом достатньо довгого періоду часу.

Використання фільтру перехоплення

Netmon /autostart /buffersize 1024000 /capturefilter с:/smbdelete.cf /autostop

Приведений вище текст команди необхідно ввести у текстовий редактор і зберегти як файл .bat. Для автоматизації процесу необхідно використати службу "Планувальник завдань".

На рис.2.7 зображено використання служби "Планувальник завдань" для автоматизації сеансу Netmon. Необхідно запустити службу планувальника, використовуючи аплет служби в панелі управління, у вікні CMD ввести необхідну команду AT. В даному випадку планувальник виконуватиме файл .bat з понеділка до п'ятниці в 5:00 після обіду. Приведений вище файл .bat виконуватиметься, поки буфер не заповниться, і потім зупиниться.

Виконуючи автоматичний сеанс Netmon під час прояву серверної проблеми, є можливість знайти неправильно працюючу програму, яка намагається повторно видалити вже видалений файл.

Ретельно створений фільтр перехоплення полегшує знаходження проблемної програми. При виявлені повідомлення про помилку, фільтр покаже, яка програма виконувалася в даний час. Крім того, можна включити перегляд часу при відкритті файлу перехоплення і точно побачити, який кадр відповідає певному повідомленню про помилку в переглядачі подій [6].

2.5 Проблеми що  виникають при широкомовленні

Широкомовлення завжди є хорошим об'єктом для моніторингу, оскільки примушує всі машини в підмережі проглядати кадр. Це створює зайву роботу для багатьох машин. Крім того, коли виникає надмірна кількість широкомовних запитів, це створює руйнівний вплив на мережу.

При розгляді трафіку широкомовлення перший крок полягає в створенні фільтру виводу широкомовлення, що вибирає всі широкомовні повідомлення у вікні фільтру виводу, після цього перевірка широкомовних повідомлень достатньо прямолінійна. Якщо виникає широкомовний запит, як на рис.2.8, його легко виявити. Найбільш активному користувачеві звіт може дати уявлення про те, як він впливає на мережу. З рис.2.8 видно що один користувач використовує велику частину трафіку у мережі.

Наступний пакет ARP показує IP-адресу і MAC адресу машини, яка викликає надмірне широкомовлення .

Для отримання імені користувача можна виконати наступні команди:

·  використати ping –a 10.0.0.163 для отримання імені хосту;

·   використати arp –a для виведення кешу ARP;

·  використати nbtstart –a 10.0.0.163 для отримання таблиці імен NetBIOS віддаленої машини.

Для усунення надмірного широкомовлення необхідно дослідити машину і перевірити, яке програмне забезпечення встановлено, які протоколи завантажено, а також вид використовуваного мережевого адаптера. Також, необхідно подивитися, чи існують оновлення для будь-якого з цих об'єктів, драйверів, перевірити оновлення вбудованих програм самого комп'ютера.

Визначивши, коли виникла проблема, можна дізнатись про те, яке програмне забезпечення було додане, видалене або оновлене, тобто що викликало проблему [2].

Розділ ІІІ. Методи захисту від несанкціонованого доступу в мережі TCP/IP

3.1 Безпека комп’ютерів на базі Windows 2000/XP

3.1.1 Сканування  мережі TCP/IP

Метою сканування є визначення IP-адрес хостів мережі, що атакуються, і для виконання сканування можна скористатися утилітою ping. На рис.3.1 представлений результат сканування утилітою ping хосту Sword-2000.

Із результату видно, що комп’ютер за вказаною адресою підключений до мережі і з’єднання працює нормально. Це найпростіший спосіб сканування мережі, однак, він не завжди приводить до потрібного результату, оскільки багато вузлів блокують зворотню відправку пакетів ICMP за допомогою спеціальних засобів захисту.

Якщо обмін даними за протоколом ICMP заблокований, хакерами можуть бути використані інші утиліти, наприклад, hping. Ця утиліта здатна фрагментувати (тобто ділити на фрагменти) пакети ICMP, що дозволяє обходити прості пристрої блокування доступу, які не роблять зворотну збірку фрагментованих пакетів [9].

Інший спосіб обходу блокування доступу – сканування за допомогою утиліт, що дозволяють визначити відкриті порти комп'ютера. Прикладом такої утиліти є SuperScan, яка надає користувачам зручний графічний інтерфейс (див рис.3.2).

На рис. 3.2 приведений результат сканування мережі в діапазоні IP-адрес 1.0.0.1-1.0.0.7. Деревовидний список в нижній частині вікна відображає список всіх відкритих портів комп'ютера Sword-2000 серед яких TCP-порт 139 сеансів NETBIOS. Запам'ятавши це, перейдемо до детальнішого дослідження мережі – до її інвентаризації .

3.1.2 Інвентаризація  мережі

Інвентаризація мережі полягає у визначенні загальних мережевих ресурсів, облікових записів користувачів і груп, а також у виявленні програм, що виконуються на мережевих хостах. При цьому хакери дуже часто використовують наступний недолік комп'ютерів Windows NT/2000/XP – можливість створення нульового сеансу NETBIOS з портом 139.

3.1.3 Нульовий сеанс

Нульовий сеанс використовується для передачі деяких відомостей про комп'ютери Windows NT/2000, необхідні для функціонування мережі. Створення нульового сеансу не вимагає виконання процедури аутентифікації з'єднання. Для створення нульового сеансу зв'язку необхідно з командного рядка Windows NT/2000/XP виконати наступну команду:

net use\\l.0.0.l\IPC$"" /user:""

Де1.0.0.1 – це IP-адреса комп'ютера Sword-2000 ,що атакується, IPC$ – це (абревіатура загального ресурсу мережі Inter-Process Communication) міжпроцесна взаємодія, перша пара лапок означає використання порожнього пароля, а друга пара в записі user:"" вказує на порожнє ім'я віддаленого клієнта. Анонімний користувач, що підключився нульовим сеансом за замовчуванням отримує можливість завантажити диспетчер користувачів, який використовується для проглядання користувачів і груп, виконувати програму проглядання журналу подій. Йому також доступні і інші програми віддаленого адміністрування системою, що використовують протокол SMB (Server Message Block - блок повідомлень сервера). Більше того, користувач, що під'єднався нульовим сеансом, має права на перегляд і модифікацію окремих розділів системного реєстру.