Wie erfolgt die Namensauflösung beim AddressWizard ?
Der AddressWizard kann entweder Standard WinSock-Aufrufe verwenden, um die zu den IP-Adressen gehörenden Namen zu ermitteln. Diese wiederum führen erst dann zu einem reverse DNS Aufruf, wenn kein Eintrag in der Windows "HOSTS" Datei gefunden wird. Es wird dann der in Windows selbst eingetragene DNS Server verwendet. Die Namensauflösung kann also bei dieser Einstellung lokal beschleunigt werden, wenn man eine möglichst vollständige (und natürlich aktuelle) "HOSTS Datei" auf seinem System führt. Windows muß je nach Version evtl. nach einer Änderung der HOSTS Datei neu gestartet werden.
Schneller kann die Namensauflösung erfolgen, wenn man im AddressWizard wählt, dass die Anfragen direkt an den im Programm eingestellten DNS-Server versandt werden. Dies ist nur dann nicht möglich, wenn der DNS-Server auf der selben Maschine wie der AddressWizard läuft.
Welche Adressen können bei passivem Scan des AddressWizards entdeckt werden ?
a) Am Mirror Port eines Switch:
Der AddressWizard kann beim passiven Scan den gesamten Traffic auswerten. Es können alle verwendeten Protokolle der sendenden Stationen erfasst und angezeigt werden. Dies gilt auch für jede andere Konfiguration mit gemeinsamer Collision Domain.
b) An einem normalen Switch Port:
Dieser Anschluss ist für den passiven Scan Mode besonders interressant, um Fehler oder ungewöhnliches Verhalten aufzuspüren. Der Switch leitet den gewöhnlichen Datenverkehr nicht an den AddressWizard weiter. Scanvorgänge von Hackern oder Viren werde dennoch aufgrund der gehäuften ARP Broadcasts erfasst.
Warum ist Langzeitüberwachung sinnvoll ?
Eine permanent laufende Überwachungssoftware sollte für das Netzwerkmanagement eine Informationsbasis von Langzeitstatistikdaten bereitstellen, wobei eine hierarchische Unterteilung der Daten nach Jahren, Monaten und Tagen zweckmäßig ist. Viele Fehler lassen sich im Voraus vermeiden, wenn das Netz permanent überwacht wird, und man die Veränderungen der Netzparameter kontrolliert. Man kann dann häufig eingreifen, bevor ein für die Benutzer sichtbarer Fehler eintritt. Selbst wenn man nicht ständig die Aufzeichnungen beobachtet (meist weil es keine Klagen über den Netzzustand gibt), kann so nach Auftreten von plötzlichen Fehlern die Zustandsentwicklung zurückverfolgt werden. Es kann zumindest der Stand festgestellt werden, den man wieder erreichen möchte.
Diese Netzparameter sind insbesondere die Netzlast und die Anzahl der Broadcasts.
Was kann das Abrechnungsmodul von NetControl ?
Ob ein ISP Gebührenmodelle mit seinen Kunden vereinbart und danach abrechnet, oder ob eine Firma die Kosten zwischen den unterschiedlichen Abteilungen aufteilen möchte, stets wird man sich derselben Mechanismen bedienen:
Portbasierte Abrechnung:
Am einfachsten ist es, dem "Kunden" einen Port zuzuteilen und alle Bytes, die an dem Port ausgetauscht werden, mit dem gleichen Bytepreis abzurechnen.
In diesem Fall muss weder nach Dienst (IP-Service-Port), noch nach dem jeweiligen Partner (IP- bzw. MAC-Adresse) unterschieden werden. Wenn der Kunde an einem managebaren Switch bzw. Router angeschlossen ist, können die Byte-Zähler (Counter) für In und Out (BytesIn und BytesOut) als Messgröße zugrunde gelegt werden.
Diese laufen allerdings immer wieder -wie bei einem Stromzähler- über, und fangen jedes mal wieder bei Null an, sodass sie permanent per Software überwacht werden müssen.
Verkehrsbezogene Abrechnung:
Gibt es keinen eindeutigen Anschlussport für jeden einzelnen Kunden, so kommt man nicht umhin, den Datenfluss zu analysieren. Dies ist auch erforderlich, wenn die Kosten für unterschiedliche Dienste bzw. Kommunikationspartner verschieden sind. Hat man eine gemeinsame Leitung, über die die Daten laufen, so kann man hier den Verkehr beobachten, z.B. mit dem Programm "NetControl for Windows". Oder man setzt einen Router bzw. Switch ein, der *NetFlow Datensätze erzeugt, die z.B. auch von NetControl ausgewertet werden können.