Le moniteur réseau,
fourni avec Windows 2000, permet de capturer le trafic à destination de
l’ordinateur sur lequel vous effectuez la capture, ainsi que le trafic
émis par votre ordinateur. Si vous souhaitez capturer tout le trafic,
vous devez utiliser le moniteur réseau fourni avec le produit SMS (Systems Management Server).
Composants du Moniteur
réseau
Le Moniteur réseau est
composé d'un outil d'administration appelé Moniteur réseau et d'un
protocole réseau appelé pilote du Moniteur réseau. Ces deux
composants doivent être installés pour que vous puissiez
capturer, afficher et analyser
les
paquets réseau (également appelés
trames).
Moniteur réseau
Le Moniteur réseau vous permet de capturer et
d'afficher les trames qu'un ordinateur reçoit d'un réseau local (LAN). Il
permet aussi d’identifier les utilisateurs effectuant une capture de
trame. Pour cela, il suffit de cliquer sur Identifier les utilisateurs
du moniteur réseau dans le menu
Outils du moniteur
réseau.
Le moniteur réseau peut être
utilisé pour détecter et résoudre les problèmes de réseau qui peuvent
survenir sur
l'ordinateur
local.
Le moniteur réseau peut également être utilisé pour afficher les
transmissions du protocole de sécurité IPSec.
Le moniteur réseau peut afficher :
o
des paquets sécurisés à l’aide du protocole AH (Authentication Header) en tant que TCP, ICMP ou UDP
doté d’un en-tête AH. Dans le champ En-tête Suivant, AH s’affiche sous le
numéro de protocole IP 51(décimales).
o
des paquets ESP (Encapsulating
Security Payload),
ces paquets étant crypté, la charge des données dans le paquet ESP ne
peut être lue. Dans le champ En-tête suivant, ESP s’affiche sous le
numéro de protocole IP 50. Pour vous assurer que les données ont été
cryptées, affichez le volet Hex du
moniteur réseau.
o
des paquets ISAKMP ou Oakley.
Dans le champ En tête Suivant, ISAKMP/Oakley
s’affiche sous le numéro de port UDP 500.
o
des paquets IPSec. (Pour les
afficher, vous devez configurer le moniteur réseau à l’aide des adresses
des ordinateurs source et de destination participant à la communication.)
Le moniteur réseau simplifie l’analyse des données en
interprétant les données brutes collectées pendant la capture et en les
affichant dans la fenêtre Frame Viewer.
La fenêtre Frame Viewer contient les volets suivants :
|
Volet
|
Affichage
|
|
Résumé
|
Des informations générales à propos des trames
capturées, dans l’ordre où elles ont été capturées.
|
|
Détail
|
Le contenu de la trame, y compris les
protocoles utilisés pour l’envoyer.
|
|
Hex
|
Une représentation hexadécimale et ASCII des
données capturées.
|
Pilote du Moniteur réseau
Le pilote du Moniteur réseau
permet au moniteur réseau de recevoir les trames d'une carte réseau et permet
aux utilisateur de la version du Moniteur réseau fournie avec Microsoft Systems Management Server (Moniteur réseau de SMS) de
capturer et d'afficher les trames reçues d'un ordinateur distant, y
compris par le biais d'une connexion d'accès réseau à distance. Lorsque
l'utilisateur d'un ordinateur exécutant le Moniteur réseau de SMS se
connecte à distance à un ordinateur équipé du pilote du Moniteur réseau
et lance une capture, les statistiques de celle-ci sont transférées sur
le réseau à destination de l'ordinateur gestionnaire. Le pilote du moniteur
réseau ne peut être installé que sur les ordinateurs exécutant Microsoft
Windows 2000 Professionnel ou Windows 2000 Server.
Note
·
Les pilotes du Moniteur réseau pour des systèmes
d'exploitation autres que Windows 2000 sont
fournis avec SMS (Systems Management Server).
Outre les fonctionnalités incluent dans le Moniteur réseau de
Windows 2000, le Moniteur réseau de SMS (Systems
Management Server) peut capturer les trames envoyées de et vers tous les
ordinateurs sur un segment de réseau, modifier et transmettre les trames.
Pour plus d'informations sur Microsoft Systems
Management Server, allez sur le site Web Microsoft Systems
Management Server (en anglais).
(Cette image
appartient à Microsoft)
Installation du moniteur
réseau :
·
Dans le panneau de configuration,
double cliquez sur l’icône Ajout/Suppression de programmes.
·
Cliquez sur le bouton Ajouter/Supprimer
des composants Windows puis dans la liste des composants,
sélectionnez Outils de gestion et d’analyse puis cliquez sur le
bouton détails.
·
Cochez la case outils d’analyse de
réseau et cliquez sur le bouton Ok puis sur le bouton Suivant.
Une fois
l’installation terminée, un nouveau programme apparaît dans les outils
d’administrations : Moniteur réseau.
La première
fois que vous utiliserez le moniteur réseau. vous devrez spécifier la
carte réseau sur laquelle vous souhaitez effectuer la capture. Par la
suite vous sélectionnerez l’interface sur laquelle écouter le trafic
réseau, celle-ci sera représentée par son adresse physique.
Les informations pour une capture
sont :
Adr MAC
src Correspond à l’adresse MAC de
l’émetteur de la trame.
Adr MAC dst Correspond à l’adresse MAC du
destinataire de la trame.
Protocole
Indique le protocole concerné
par la trame.
Description
Indique le résumé des informations
contenues dans le protocole de la couche la plus haute encapsulée dans la
trame.
Autre adr src Correspond à l’adresse logique de la
machine émettrice de la trame.
Autre adr dst
Correspond
à l’adresse logique de la machine
destinatrice de la trame.
Lorsque vous
désirez analyser le contenu d’une trame, il suffit de double cliquer
dessus pour ouvrir une fenêtre de détail de la capture.
Utilisation des filtres de capture
|
Il est
souvent judicieux d’effectuer un filtrage sur les trames capturées. En
effet le filtrage sur les trames permet de filtrer le nombre de trames,
facilitant ainsi l’analyse d’un trafic.
Il est
possible d’effectuer un filtrage en fonction des adresses sources et
destinations, des protocoles et des propriétés des protocoles. Cette
option se trouve dans le menu Capture.
Un filtre de capture fonctionne comme une
requête de base de données, c'est-à-dire que vous pouvez l'utiliser
pour spécifier les types d'informations réseau à surveiller. Par
exemple, pour n’afficher qu'un sous-ensemble spécifique d'ordinateurs
ou de protocoles, vous pouvez créer une base de données d'adresses,
utiliser celle-ci pour ajouter des adresses dans votre filtre, puis
enregistrer votre filtre dans un fichier. En filtrant les trames, vous
économisez des ressources mémoire tampon et du temps. Si nécessaire,
vous pouvez ultérieurement charger le fichier de filtre de capture et
réutiliser le filtre.
|
|
Pour créer un filtre
de capture, spécifiez des instructions de décision dans la boîte de
dialogue Filtre de Capture. Cette boîte de dialogue affiche
l'arbre de décision du filtre, c'est-à-dire une représentation graphique de
la logique d'un filtre. Quand vous incluez ou excluez des informations de
vos critères de capture, l'arbre de décision reflète ces spécifications.
Filtrage par protocole
Pour capturer des
trames émises selon un protocole spécifique, spécifiez ce protocole sur
la ligne SAP/ETYPE= du fichier de capture. Par
exemple, pour capturer uniquement des trames IP, désactivez tous les
protocoles, puis activez IP ETYPE 0x800
et IP SAP 0x6. Par défaut, tous les
protocoles que le Moniteur réseau prend en charge sont activés.
Filtrage par adresse
Pour capturer des
trames envoyées par des ordinateurs spécifiques de votre réseau,
spécifiez une ou plusieurs paires d'adresses dans un filtre de capture.
Vous pouvez surveiller simultanément jusqu'à quatre paires d'adresses spécifiques.
Une paire d'adresses
se compose des éléments suivants :
-
Les adresses des deux
ordinateurs entre lesquels vous voulez surveiller le trafic.
-
Des flèches qui spécifient
le sens de circulation du trafic que vous voulez surveiller.
-
Le mot clé INCLUDE ou
EXCLUDE, qui indique la manière dont le Moniteur réseau doit
répondre à une trame répondant aux critères du filtre.
Quel que soit l'ordre
d'affichage des instructions dans la boîte de dialogue Filtre de
Capture, les instructions EXCLUDE sont traitées en premier. Par
conséquent, toute trame répondant aux critères spécifiés dans une
instruction EXCLUDE d'un filtre contenant des instructions EXCLUDE et
INCLUDE sera ignorée. Le Moniteur réseau ne vérifie pas si cette trame
répond également au critère de l'instruction INCLUDE.
Par exemple, pour
capturer tout le trafic de l'ordinateur de Joseph à l'exception de
celui envoyé de Joseph à Anne, utilisez la section d'adresse du filtre de
capture suivante :
Addresses
include Joe <----> Any
exclude Joe <----> Anne
S'il n'y a pas d'instructions
INCLUDE, votre_ordinateur <----> Any est utilisé par défaut.
Remarque :
Souvenez vous qu’avec la
version du moniteur réseau fourni en standard avec Windows 2000, il est
possible de capturer uniquement le trafic en provenance ou à destination
de votre machine. Par conséquent, le serveur à partir duquel vous avez
effectué la capture doit apparaître dans la liste des filtres à
appliquer.
Filtrage par modèle de données
Le fait de spécifier un modèle
de référence dans un fichier de capture vous permet de :
-
limiter une capture aux
seules trames contenant un modèle de données spécifique, ASCII ou
hexadécimal ;
-
spécifier à combien
d'octets (décalages) du début de la trame doit se trouver le modèle
de données.
Lorsque vous filtrez sur la
base d'un modèle de données, vous devez spécifier l'emplacement du modèle
dans la trame (à combien d'octets du début ou de la fin). Si votre
support réseau au niveau protocole MAC (Media Access Control), tel que
Ethernet ou Token Ring, a une longueur
variable, spécifiez le nombre d'octets à partir de la fin de l'en-tête de
topologie.
Utilisation des filtres d’affichage
Comme le filtre de capture, un
filtre d'affichage fonctionne comme une requête de base de données et
vous permet d'isoler des types d'informations spécifiques. Toutefois,
étant donné qu'un filtre d'affichage porte sur des données déjà
capturées, il n'affecte pas le contenu du tampon de capture du Moniteur
réseau.
Utilisez un filtre d'affichage
pour déterminer les trames à afficher. Vous pouvez filtrer une trame
selon :
-
son adresse source ou de
destination ;
-
les protocoles utilisés
pour l'envoyer ;
-
les propriétés et valeurs
qu'elle contient. (Une propriété est un champ de données
contenu dans un en-tête de protocole. L'ensemble des propriétés d'un
protocole indiquent l'objet de celui-ci.)
Les différences entre le moniteur
réseau de Windows 2000 et celui de SMS (Systems
Management Server)
Le moniteur
réseau fourni par SMS possède plus de fonction que celui de Windows 2000.
Les fonctions
supplémentaires contenues dans le moniteur réseau de SMS sont :
§
La détermination de l’utilisateur
sollicitant le plus de bande passante.
§
La détermination du protocole
sollicitant le plus de bande passante.
§
La localisation des routeurs.
§
La résolution des noms de machines en
adresse Mac.
§
L’édition et la retransmission d’un
trafic réseau.
§
La capture à distance est possible à
condition que ce dernier possède un agent du moniteur réseau et que vous
soyez administrateur de la machine distante exécutant le moniteur réseau.
Certaines
fonctions contenu dans les deux moniteurs réseaux différents :
§
En ce qui concerne la capture locale,
le moniteur réseau de Windows 2000 capture uniquement les trames à
destination ou en provenance de l’ordinateur exécutant le moniteur
réseau, alors que le moniteur réseau de SMS capture toutes les trames qui
circulent sur le sous réseau.
Conclusion
Windows 2000
se base sur de nombreux standards (protocoles TCP/IP, RIP, OSPF, etc.)
qui font de ce système un OS bien conçu pour fonctionner dans des
environnements mixtes.
Microsoft
fournit, en plus de ces standards, un certain nombre de services
permettant aux utilisateurs d’accéder à des ressources stockées sur
différents systèmes de la façon la plus transparente possible, exemple
Novell, Macintosh, SNA.
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Le Moniteur Réseau
