Le moniteur réseau, fourni avec Windows 2000, permet de capturer le trafic à destination de l’ordinateur sur lequel vous effectuez la capture, ainsi que le trafic émis par votre ordinateur. Si vous souhaitez capturer tout le trafic, vous devez utiliser le moniteur réseau fourni avec le produit SMS (Systems Management Server).
Composants du Moniteur réseau
Le Moniteur réseau est composé d'un outil d'administration appelé Moniteur réseau et d'un protocole réseau appelé pilote du Moniteur réseau. Ces deux composants doivent être installés pour que vous puissiez capturer, afficher et analyser les paquets réseau (également appelés trames).
Moniteur réseau
Le Moniteur réseau vous permet de capturer et d'afficher les trames qu'un ordinateur reçoit d'un réseau local (LAN). Il permet aussi d’identifier les utilisateurs effectuant une capture de trame. Pour cela, il suffit de cliquer sur Identifier les utilisateurs du moniteur réseau dans le menu Outils du moniteur réseau.
Le moniteur réseau peut être utilisé pour détecter et résoudre les problèmes de réseau qui peuvent survenir sur l'ordinateur local.
Le moniteur réseau peut également être utilisé pour afficher les transmissions du protocole de sécurité IPSec.
Le moniteur réseau peut afficher :
o des paquets sécurisés à l’aide du protocole AH (Authentication Header) en tant que TCP, ICMP ou UDP doté d’un en-tête AH. Dans le champ En-tête Suivant, AH s’affiche sous le numéro de protocole IP 51(décimales).
o des paquets ESP (Encapsulating Security Payload), ces paquets étant crypté, la charge des données dans le paquet ESP ne peut être lue. Dans le champ En-tête suivant, ESP s’affiche sous le numéro de protocole IP 50. Pour vous assurer que les données ont été cryptées, affichez le volet Hex du moniteur réseau.
o des paquets ISAKMP ou Oakley. Dans le champ En tête Suivant, ISAKMP/Oakley s’affiche sous le numéro de port UDP 500.
o des paquets IPSec. (Pour les afficher, vous devez configurer le moniteur réseau à l’aide des adresses des ordinateurs source et de destination participant à la communication.)
Le moniteur réseau simplifie l’analyse des données en interprétant les données brutes collectées pendant la capture et en les affichant dans la fenêtre Frame Viewer.
La fenêtre Frame Viewer contient les volets suivants :
| Volet | Affichage |
| Résumé | Des informations générales à propos des trames capturées, dans l’ordre où elles ont été capturées. |
| Détail | Le contenu de la trame, y compris les protocoles utilisés pour l’envoyer. |
| Hex | Une représentation hexadécimale et ASCII des données capturées. |
Pilote du Moniteur réseau
Le pilote du Moniteur réseau permet au moniteur réseau de recevoir les trames d'une carte réseau et permet aux utilisateur de la version du Moniteur réseau fournie avec Microsoft Systems Management Server (Moniteur réseau de SMS) de capturer et d'afficher les trames reçues d'un ordinateur distant, y compris par le biais d'une connexion d'accès réseau à distance. Lorsque l'utilisateur d'un ordinateur exécutant le Moniteur réseau de SMS se connecte à distance à un ordinateur équipé du pilote du Moniteur réseau et lance une capture, les statistiques de celle-ci sont transférées sur le réseau à destination de l'ordinateur gestionnaire. Le pilote du moniteur réseau ne peut être installé que sur les ordinateurs exécutant Microsoft Windows 2000 Professionnel ou Windows 2000 Server.
Note
· Les pilotes du Moniteur réseau pour des systèmes d'exploitation autres que Windows 2000 sont fournis avec SMS (Systems Management Server). Outre les fonctionnalités incluent dans le Moniteur réseau de Windows 2000, le Moniteur réseau de SMS (Systems Management Server) peut capturer les trames envoyées de et vers tous les ordinateurs sur un segment de réseau, modifier et transmettre les trames. Pour plus d'informations sur Microsoft Systems Management Server, allez sur le site Web Microsoft Systems Management Server (en anglais).
(Cette image appartient à Microsoft)
Installation du moniteur réseau :
· Dans le panneau de configuration, double cliquez sur l’icône Ajout/Suppression de programmes.
· Cliquez sur le bouton Ajouter/Supprimer des composants Windows puis dans la liste des composants, sélectionnez Outils de gestion et d’analyse puis cliquez sur le bouton détails.
· Cochez la case outils d’analyse de réseau et cliquez sur le bouton Ok puis sur le bouton Suivant.
Une fois l’installation terminée, un nouveau programme apparaît dans les outils d’administrations : Moniteur réseau.
La première fois que vous utiliserez le moniteur réseau. vous devrez spécifier la carte réseau sur laquelle vous souhaitez effectuer la capture. Par la suite vous sélectionnerez l’interface sur laquelle écouter le trafic réseau, celle-ci sera représentée par son adresse physique.
Les informations pour une capture sont :
Adr MAC src Correspond à l’adresse MAC de l’émetteur de la trame.
Adr MAC dst Correspond à l’adresse MAC du destinataire de la trame.
Protocole Indique le protocole concerné par la trame.
Description Indique le résumé des informations contenues dans le protocole de la couche la plus haute encapsulée dans la trame.
Autre adr src Correspond à l’adresse logique de la machine émettrice de la trame.
Autre adr dst Correspond à l’adresse logique de la machine destinatrice de la trame.
Lorsque vous désirez analyser le contenu d’une trame, il suffit de double cliquer dessus pour ouvrir une fenêtre de détail de la capture.
Utilisation des filtres de capture
| Il est souvent judicieux d’effectuer un filtrage sur les trames capturées. En effet le filtrage sur les trames permet de filtrer le nombre de trames, facilitant ainsi l’analyse d’un trafic. Il est possible d’effectuer un filtrage en fonction des adresses sources et destinations, des protocoles et des propriétés des protocoles. Cette option se trouve dans le menu Capture. Un filtre de capture fonctionne comme une requête de base de données, c'est-à-dire que vous pouvez l'utiliser pour spécifier les types d'informations réseau à surveiller. Par exemple, pour n’afficher qu'un sous-ensemble spécifique d'ordinateurs ou de protocoles, vous pouvez créer une base de données d'adresses, utiliser celle-ci pour ajouter des adresses dans votre filtre, puis enregistrer votre filtre dans un fichier. En filtrant les trames, vous économisez des ressources mémoire tampon et du temps. Si nécessaire, vous pouvez ultérieurement charger le fichier de filtre de capture et réutiliser le filtre. | |
Création d'un filtre de capture
Pour créer un filtre de capture, spécifiez des instructions de décision dans la boîte de dialogue Filtre de Capture. Cette boîte de dialogue affiche l'arbre de décision du filtre, c'est-à-dire une représentation graphique de la logique d'un filtre. Quand vous incluez ou excluez des informations de vos critères de capture, l'arbre de décision reflète ces spécifications.
Filtrage par protocole
Pour capturer des trames émises selon un protocole spécifique, spécifiez ce protocole sur la ligne SAP/ETYPE= du fichier de capture. Par exemple, pour capturer uniquement des trames IP, désactivez tous les protocoles, puis activez IP ETYPE 0x800 et IP SAP 0x6. Par défaut, tous les protocoles que le Moniteur réseau prend en charge sont activés.
Filtrage par adresse
Pour capturer des trames envoyées par des ordinateurs spécifiques de votre réseau, spécifiez une ou plusieurs paires d'adresses dans un filtre de capture. Vous pouvez surveiller simultanément jusqu'à quatre paires d'adresses spécifiques.
Une paire d'adresses se compose des éléments suivants :
- Les adresses des deux ordinateurs entre lesquels vous voulez surveiller le trafic.
- Des flèches qui spécifient le sens de circulation du trafic que vous voulez surveiller.
- Le mot clé INCLUDE ou EXCLUDE, qui indique la manière dont le Moniteur réseau doit répondre à une trame répondant aux critères du filtre.
Quel que soit l'ordre d'affichage des instructions dans la boîte de dialogue Filtre de Capture, les instructions EXCLUDE sont traitées en premier. Par conséquent, toute trame répondant aux critères spécifiés dans une instruction EXCLUDE d'un filtre contenant des instructions EXCLUDE et INCLUDE sera ignorée. Le Moniteur réseau ne vérifie pas si cette trame répond également au critère de l'instruction INCLUDE.
Par exemple, pour capturer tout le trafic de l'ordinateur de Joseph à l'exception de celui envoyé de Joseph à Anne, utilisez la section d'adresse du filtre de capture suivante :
Addressesinclude Joe <----> Anyexclude Joe <----> AnneS'il n'y a pas d'instructions INCLUDE, votre_ordinateur <----> Any est utilisé par défaut.
Remarque :
Souvenez vous qu’avec la version du moniteur réseau fourni en standard avec Windows 2000, il est possible de capturer uniquement le trafic en provenance ou à destination de votre machine. Par conséquent, le serveur à partir duquel vous avez effectué la capture doit apparaître dans la liste des filtres à appliquer.
Filtrage par modèle de données
Le fait de spécifier un modèle de référence dans un fichier de capture vous permet de :
- limiter une capture aux seules trames contenant un modèle de données spécifique, ASCII ou hexadécimal ;
- spécifier à combien d'octets (décalages) du début de la trame doit se trouver le modèle de données.
Lorsque vous filtrez sur la base d'un modèle de données, vous devez spécifier l'emplacement du modèle dans la trame (à combien d'octets du début ou de la fin). Si votre support réseau au niveau protocole MAC (Media Access Control), tel que Ethernet ou Token Ring, a une longueur variable, spécifiez le nombre d'octets à partir de la fin de l'en-tête de topologie.
Utilisation des filtres d’affichage
Comme le filtre de capture, un filtre d'affichage fonctionne comme une requête de base de données et vous permet d'isoler des types d'informations spécifiques. Toutefois, étant donné qu'un filtre d'affichage porte sur des données déjà capturées, il n'affecte pas le contenu du tampon de capture du Moniteur réseau.
Utilisez un filtre d'affichage pour déterminer les trames à afficher. Vous pouvez filtrer une trame selon :
- son adresse source ou de destination ;
- les protocoles utilisés pour l'envoyer ;
- les propriétés et valeurs qu'elle contient. (Une propriété est un champ de données contenu dans un en-tête de protocole. L'ensemble des propriétés d'un protocole indiquent l'objet de celui-ci.)
Les différences entre le moniteur réseau de Windows 2000 et celui de SMS (Systems Management Server)
Le moniteur réseau fourni par SMS possède plus de fonction que celui de Windows 2000.
Les fonctions supplémentaires contenues dans le moniteur réseau de SMS sont :
§ La détermination de l’utilisateur sollicitant le plus de bande passante.
§ La détermination du protocole sollicitant le plus de bande passante.
§ La localisation des routeurs.
§ La résolution des noms de machines en adresse Mac.
§ L’édition et la retransmission d’un trafic réseau.
§ La capture à distance est possible à condition que ce dernier possède un agent du moniteur réseau et que vous soyez administrateur de la machine distante exécutant le moniteur réseau.
Certaines fonctions contenu dans les deux moniteurs réseaux différents :
§ En ce qui concerne la capture locale, le moniteur réseau de Windows 2000 capture uniquement les trames à destination ou en provenance de l’ordinateur exécutant le moniteur réseau, alors que le moniteur réseau de SMS capture toutes les trames qui circulent sur le sous réseau.
Conclusion
