Управление сетями Windows с помощью сценариев. Часть 8. Устранение неполадок с удаленными сценариями с помощью Network Monitor 3.0

Опубликовано: 23 Марта, 2023

Управление сетями Windows с помощью скриптов. Часть 10. Приемы удаленного скриптинга
Управление сетями Windows с помощью сценариев. Часть 11. Дополнительные приемы работы со сценариями
Управление сетями Windows с помощью сценариев. Часть 12. Свойства класса WMI
Управление сетями Windows с помощью сценариев. Часть 13. Удобный сценарий возврата всех значений
Управление сетями Windows с помощью сценариев. Часть 14. Дополнительные сведения о сценариях WMI

В предыдущей статье этой серии мы приступили к устранению загадочной ошибки, возникшей при попытке удаленного изменения IP-адреса на компьютере с XP с помощью разработанного нами ранее сценария ChangeIPAddress.vbs. Таинственная ошибка, которая произошла, была следующей:

SWbemObjectEx: Ошибка удаленного вызова процедуры

В предыдущей статье я упомянул, что связался с некоторыми гуру сценариев по поводу этой ошибки, и «лучший ответ», который я получил, заключался в том, что исправление, вероятно, нарушило функциональность WMI, и в результате этот сценарий работал удаленно, но выдавал ошибку.

Оформите предзаказ на копию Microsoft Windows Vista Resource Kit уже сегодня!

Но впоследствии со мной связался проницательный читатель со следующим комментарием:

На мой взгляд, это не ошибка ни в одном исправлении. Помните, что вы меняете IP-адрес xp2. Удаленный вызов процедуры завершился неудачно из-за потери соединения с xp2 по исходному IP-адресу (172.16.11.43). Затем он тратит несколько раз (около 1 минуты) на поиск xp2 на новом IP-адресе (172.16.11.65), прежде чем сдается.

Представьте, что вы просто подключаетесь к серверу с правами администратора и меняете IP-адрес сервера. Вы потеряете связь? Он будет висеть некоторое время, и это то же самое. Но изменение шлюза по умолчанию на сервере не прервет существующее (telnet) соединение (при условии, что вы делаете это из той же подсети). Если вы попытаетесь изменить настройку шлюза по умолчанию с удаленного сайта, вы должны столкнуться с такой же задержкой.

Хорошая точка зрения! Как мы можем проверить это объяснение?

Использование сетевого монитора 3.0

Microsoft недавно выпустила новую версию Network Monitor, инструмента для перехвата пакетов, входящего в состав Microsoft Systems Management Server. Сетевой монитор 3.0 имеет несколько улучшений по сравнению с предыдущей версией этого инструмента, а именно:

Новый, улучшенный пользовательский интерфейс, отображающий кадры во время их захвата в режиме реального времени.
Несколько одновременных сеансов захвата и одновременный захват на нескольких сетевых адаптерах.
Возможность отображать сетевые «разговоры», т. е. сеансы по определенному протоколу.
Поддержка Vista, Windows XP и Windows Server 2003, включая 32-битные и 64-битные платформы.
Новая панель фильтрации, позволяющая вручную задавать фильтры.

Дополнительные сведения о Network Monitor 3.0 см. в блоге Пола Лонга на TechNet.

Тогда вот мой план. Я собираюсь использовать NM3 для захвата сетевой трассировки с машины, на которой я запускаю сценарий ChangeIPAddress.vbs. Моя тестовая установка для этого выглядит следующим образом:

Рабочая станция администратора
Имя: test124.test.com
IP-адрес: 172.16.11.124 (статический)

Целевая машина
Имя: test125.test.com
IP-адрес: 172.16.11.125 (статический)

Контроллер домена
Имя: dc181.test.com
IP-адрес: 172.16.11.181

Но прежде чем я попытаюсь запустить ChangeIPAddress.vbs на test124, чтобы изменить IP-адрес test125, давайте быстро взглянем на NM3.

Когда вы запускаете NM3, это выглядит так (рисунок 1):

Рис. 1. Начальный экран Network Monitor 3.0 (щелкните, чтобы увеличить изображение)

Прежде чем мы пойдем дальше, давайте установим флажок «Включить диалоги», чтобы мы могли просматривать каждый тип сеанса протокола, который происходит во время нашей трассировки.

Теперь нажмите «Создать новую вкладку захвата». Откроется новая вкладка с именем Capture1, которую мы можем использовать для создания трассировки сети (рис. 2):

Рис. 2. Открытие новой вкладки захвата (щелкните, чтобы увеличить изображение)

Теперь давайте протестируем NM3 на чем-нибудь простом. Мы нажмем кнопку Play, чтобы начать захват, а затем с машины test124 откроем командную строку и наберем ping 172.16.11.125, т.е. мы пингуем test125 с test124. Результат такой (Рисунок 3):

Рис. 3. Трассировка проверки связи 172.16.11.125 (щелкните, чтобы увеличить изображение)

Это как раз то, что мы ожидаем: два пакета ARP (запрос ARP, за которым следует ответ ARP), а затем серия пакетов ICMP (сообщения Echo Request, за которыми следуют сообщения Echo Reply). Если вы знакомы с основами работы с сетями TCP/IP, это будет легко понять.

Давайте посмотрим на «разговоры», которые произошли. Разверните узел My Traffic, чтобы отобразить их (рис. 4):

Рис. 4. Отображение диалогов (щелкните, чтобы увеличить изображение)

Обратите внимание, что произошли два диалога: ARP и IPv4 (ICMP). Опять же, это должно быть довольно очевидно, если вы знакомы с основами сетей TCP/IP.

Давайте теперь выберем пакет запроса ARP и заглянем внутрь него (рисунок 5):

Рис. 5. Изучение пакета (щелкните, чтобы увеличить изображение)

Теперь, когда у нас есть краткое введение в NM3 (есть еще много всего!), давайте попробуем использовать его для устранения нашей загадочной ошибки.

Захват следов

Я начну с перезагрузки обеих рабочих станций, чтобы очистить все кеши (ARP, DNS и т. д.), а затем открою командную строку на test124 и наберу ChangeIPAddress.vbs 172.16.11.144, чтобы изменить IP-адрес test125 с 172.16.11.125. на 172.16.11.144. (В этом скрипте я жестко запрограммировал целевой компьютер как «test125».) Вот результат (рис. 6):

Рис. 6. Результат запуска ChangeIPAddress.vbs 172.16.11.144 (щелкните, чтобы увеличить изображение)

Вот обзор того, что произошло. Захват длился в общей сложности почти 90 секунд, всего было отснято 274 кадра. Сообщение об ошибке появилось в кадре 241, а командная строка вернулась в кадре 274. (Я знаю это, потому что наблюдал за выводом команды во время захвата трассировки.) Это большой объем трафика для анализа! Глядя на рисунок 6 выше, мы можем, по крайней мере, начать его анализ:

Кадры 3-4 показывают, что имя TEST125 преобразуется в IP-адрес 172.16.11.125 с использованием DNS.

Кадры 5–6 показывают, что IP-адрес 172.16.11.125 преобразуется в MAC-адрес с помощью ARP.

Кадры 7–9 показывают трехстороннее рукопожатие TCP (SYN, SYN/ACK, ACK), происходящее между test124 и test125.

Кадры 10–11 показывают, что между двумя машинами устанавливается привязка RPC.

Кадры 12–13 показывают, что DCOM используется поверх RCP (WMI использует DCOM для обработки удаленных вызовов).

И так далее.

Очевидно, что мы не можем отобразить на рисунке все 274 кадра, поэтому я скопировал сводную информацию о кадрах в текстовый файл. (Я также сохранил захват в виде файла.cap). Щелкните здесь, чтобы просмотреть сводку кадров, полученную при запуске ChangeIPAddress.vbs.

Это довольно ошеломляюще, не так ли? Как можно начать понимать, о чем вам говорит этот захват?

Что ж, при устранении неполадок хорошо начинать с того, что вы знаете, а не с того, чего не знаете. И мы знаем, что другой сценарий (ChangeGateway.vbs), который мы разработали в нашей предыдущей статье, работал без каких-либо сообщений об ошибках. Поэтому, прежде чем мы продолжим рассмотрение файла ChangeIPAddress.txt, давайте перезагрузим наши рабочие станции и сделаем еще один захват, на этот раз показав результат выполнения команды ChangeGateway.vbs 172.16.11.2 1 на test124, чтобы изменить шлюз по умолчанию для test125 с 172.16.11.1. на 172.16.11.2 (с указанием метрики 1). Вот как выглядит этот второй снимок (рис. 7):

Рис. 7. Результат запуска ChangeGateway.vbs 172.16.11.2 1 (щелкните, чтобы увеличить изображение)

На этот раз нужно проанализировать только 217 кадров (!), и вы можете щелкнуть здесь, чтобы просмотреть сводку кадров.

Анализ захвата для ChangeGateway.vbs

Давайте попробуем проанализировать этот второй захват (тот, который работал без ошибок), разбив сводку кадра по частям. Вот оно:

1 0.000000 NetmonFilter NetmonFilter: обновленный фильтр захвата: нет
2 0,000000 NetworkInfo NetworkInfo: информация о сети для TEST124, количество сетевых адаптеров = 1

Просто заголовок NM3 — не обращайте внимания.

3 0.000000 {DNS:3, UDP:2, IPv4:1} 172.16.11.124 dc181.test.local DNS DNS: QueryId = 0x4275, QUERY (стандартный запрос), запрос для 124.11.16.172.in-addr.arpa типа SOA на уроке Интернет
4 1.281250 {ARP:4} 172.16.11.181 172.16.11.1 ARP ARP: запрос, 172.16.11.181 запрашивает 172.16.11.1
5 1.890625 {DNS:6, UDP:5, IPv4:1} 172.16.11.124 dc181.test.local DNS DNS: QueryId = 0xEB6E, QUERY (стандартный запрос), запрос для test125.test.local типа Host Addr в классе Internet
6 1.890625 {DNS:6, UDP:5, IPv4:1} dc181.test.local 172.16.11.124 DNS DNS: QueryId = 0xEB6E, QUERY (стандартный запрос), ответ – успех
7 1.906250 {ARP:7} 172.16.11.124 172.16.11.125 ARP ARP: запрос, 172.16.11.124 запрашивает 172.16.11.125
8 1.906250 {ARP:7} 172.16.11.125 172.16.11.124 ARP ARP: Ответ, 172.16.11.125 в 00-11-D8-E3-EC-84

Материалы для разрешения имен и адресов (DNS и ARP).

9 1.906250 {TCP:9, IPv4:8} 172.16.11.124 test125.test.local TCP TCP: Flags=.S……, SrcPort=1069, DstPort=разрешение конечной точки DCE(135), Len=0, Seq=1441244938, Ack=0, Win=65535 (коэффициент масштабирования 0) = 65535
10 1.906250 {TCP:9, IPv4:8} test125.test.local 172.16.11.124 TCP TCP: Flags=.S..A…, SrcPort=разрешение конечной точки DCE(135), DstPort=1069, Len=0, Seq= 871910569, Ack=1441244939, Win=65535 (масштабный коэффициент 0) = 65535
11 1.906250 {TCP:9, IPv4:8} 172.16.11.124 test125.test.local TCP TCP: Flags=….A…, SrcPort=1069, DstPort=разрешение конечной точки DCE(135), Len=0, Seq=1441244939, Ack=871910570, Win=65535 (масштабный коэффициент 0) = 65535

Test124 только что установил TCP-соединение с test125.

12 1.906250 {MSRPC:10, TCP:9, IPv4:8} 172.16.11.124 test125.test.local MSRPC MSRPC: c/o Bind: UUID{99FCFEC4-5260-101B-BBCB-00AA0021347A} DCOM-IObjectExporter Call=0x1 Assoc Группа = 0x0 Передать = 0x16D0 Принять = 0x16D0
13 1.906250 {MSRPC:10, TCP:9, IPv4:8} test125.test.local 172.16.11.124 MSRPC MSRPC: c/o Bind Ack: Call=0x1 Assoc Grp=0x32E9 Xmit=0x16D0 Recv=0x16D0
14 1.906250 {MSRPC:10, TCP:9, IPv4:8} 172.16.11.124 test125.test.local DCOM DCOM
15 1.906250 {MSRPC:10, TCP:9, IPv4:8} test125.test.local 172.16.11.124 DCOM DCOM

Test124 устанавливает привязку RCP к test125 и вызывает DCOM.

СОВЕТ. Если у вас возникли проблемы с отслеживанием части RPC этой трассировки, см. справку в статье 159258 базы знаний.

16 1.921875 {TCP:11, IPv4:8} 172.16.11.124 test125.test.local TCP TCP: Flags=.S……, SrcPort=1070, DstPort=разрешение конечной точки DCE(135), Len=0, Seq=3003512395, Ack=0, Win=65535 (коэффициент масштабирования 0) = 65535
17 1.921875 {TCP:11, IPv4:8} test125.test.local 172.16.11.124 TCP TCP: Flags=.S..A…, SrcPort=разрешение конечной точки DCE(135), DstPort=1070, Len=0, Seq= 4088700167, Ack=3003512396, Win=65535 (масштабный коэффициент 0) = 65535
18 1.921875 {TCP:11, IPv4:8} 172.16.11.124 test125.test.local TCP TCP: Flags=….A…, SrcPort=1070, DstPort=разрешение конечной точки DCE(135), Len=0, Seq=3003512396, Ack=4088700168, Win=65535 (коэффициент масштабирования 0) = 65535

Еще одно трехстороннее рукопожатие TCP между машинами.

19 1.921875 {UDP:12, IPv4:1} 172.16.11.124 dc181.test.local KerberosV5 KerberosV5: Область запросов TGS: TEST.LOCAL Имя: RPCSS/test125.test.local
20 1.921875 {UDP:12, IPv4:1} dc181.test.local 172.16.11.124 KerberosV5 KerberosV5: TGS Response Cname: Administrator

Проверка подлинности Kerberos (обе машины присоединены к домену).

21 1.921875 {MSRPC:13, TCP:11, IPv4:8} 172.16.11.124 test125.test.local MSRPC MSRPC: c/o Bind: UUID{000001A0-0000-0000-C000-000000000046} DCOM-IRemoteSCMActivator Call=0x2 Assoc Grp=0x32E9 Xmit=0x16D0 Recv=0x16D0
22 1.921875 {ARP:14} 172.16.11.181 172.16.11.125 ARP ARP: запрос, 172.16.11.181 запрашивает 172.16.11.125
23 1.921875 {MSRPC:13, TCP:11, IPv4:8} test125.test.local 172.16.11.124 MSRPC MSRPC: c/o Bind Ack: Call=0x2 Assoc Grp=0x32E9 Xmit=0x16D0 Recv=0x16D0
24 1.921875 {MSRPC:13, TCP:11, IPv4:8} 172.16.11.124 test125.test.local MSRPC MSRPC: c/o Alter Cont: UUID{000001A0-0000-0000-C000-000000000046} DCOM-IRemoteSCMActivator Call=0x2
25 1.921875 {MSRPC:13, TCP:11, IPv4:8} test125.test.local 172.16.11.124 MSRPC MSRPC: c/o Alter Cont Resp: Call=0x2 Assoc Grp=0x32E9 Xmit=0x16D0 Recv=0x16D0
26 1.921875 {MSRPC:13, TCP:11, IPv4:8} 172.16.11.124 test125.test.local DCOM DCOM
27 1.937500 {MSRPC:13, TCP:11, IPv4:8} test125.test.local 172.16.11.124 DCOM DCOM

Больше RPC и DCOM. Я думаю, что «Alter Cont» указывает на использование альтернативного контекста, но на самом деле я не уверен. Тем не менее, все должно быть в порядке, так как скрипт работал без каких-либо ошибок.

28 1.937500 {TCP:15, IPv4:8} 172.16.11.124 test125.test.local TCP TCP: Flags=.S……, SrcPort=1072, DstPort=1117, Len=0, Seq=3011418470, Ack=0, Win = 65535 (масштабный коэффициент 0) = 65535
29 1.937500 {TCP:15, IPv4:8} test125.test.local 172.16.11.124 TCP TCP: Flags=.S..A…, SrcPort=1117, DstPort=1072, Len=0, Seq=554832695, Ack=3011418471, Win=65535 (масштабный коэффициент 0) = 65535
30 1.937500 {TCP:15, IPv4:8} 172.16.11.124 test125.test.local TCP TCP: Flags=….A…, SrcPort=1072, DstPort=1117, Len=0, Seq=3011418471, Ack=554832696, Win = 65535 (масштабный коэффициент 0) = 65535

Еще одно рукопожатие TCP.

31 1.937500 {UDP:16, IPv4:1} 172.16.11.124 dc181.test.local KerberosV5 KerberosV5: Область запросов TGS: TEST.LOCAL Имя: TEST125$
32 1.937500 {UDP:16, IPv4:1} dc181.test.local 172.16.11.124 KerberosV5 KerberosV5: TGS Response Cname: Administrator

Другие вещи Kerberos.

33 1.937500 {MSRPC:17, TCP:15, IPv4:8} 172.16.11.124 test125.test.local MSRPC MSRPC: c/o Bind: UUID{00000143-0000-0000-C000-000000000046} DCOM-IRemUnknown2 Call=0x1 Assoc Группа = 0x0 Передать = 0x16D0 Принять = 0x16D0
34 1.937500 {MSRPC:17, TCP:15, IPv4:8} test125.test.local 172.16.11.124 MSRPC MSRPC: c/o Bind Ack: Call=0x1 Assoc Grp=0x333D Xmit=0x16D0 Recv=0x16D0
35 1.937500 {MSRPC:17, TCP:15, IPv4:8} 172.16.11.124 test125.test.local MSRPC MSRPC: c/o Alter Cont: UUID{00000143-0000-0000-C000-000000000046} DCOM-IRemUnknown2 Call=0x1
36 1.937500 {MSRPC:17, TCP:15, IPv4:8} test125.test.local 172.16.11.124 MSRPC MSRPC: c/o Alter Cont Resp: Call=0x1 Assoc Grp=0x333D Xmit=0x16D0 Recv=0x16D0
37 1.937500 {MSRPC:17, TCP:15, IPv4:8} 172.16.11.124 test125.test.local DCOM DCOM
38 1.937500 {MSRPC:17, TCP:15, IPv4:8} test125.test.local 172.16.11.124 DCOM DCOM
39 1.937500 {MSRPC:17, TCP:15, IPv4:8} 172.16.11.124 test125.test.local MSRPC MSRPC: c/o Alter Cont: UUID {D4781CD6-E5D3-44DF-AD94-930EFE48A887} WMI-IWbemLoginClientID Call=0x2
40 1.937500 {MSRPC:17, TCP:15, IPv4:8} test125.test.local 172.16.11.124 MSRPC MSRPC: c/o Alter Cont Resp: Call=0x2 Assoc Grp=0x333D Xmit=0x16D0 Recv=0x16D0
41 1.937500 {MSRPC:17, TCP:15, IPv4:8} 172.16.11.124 test125.test.local DCOM DCOM
42 1.937500 {MSRPC:17, TCP:15, IPv4:8} test125.test.local 172.16.11.124 DCOM DCOM
43 1.937500 {MSRPC:17, TCP:15, IPv4:8} 172.16.11.124 test125.test.local MSRPC MSRPC: c/o Alter Cont: UUID {F309AD18-D86A-11D0-A075-00C04FB68820} WMI-IWbemLevel1Login Call=0x3
44 1.937500 {MSRPC:17, TCP:15, IPv4:8} test125.test.local 172.16.11.124 MSRPC MSRPC: c/o Alter Cont Resp: Call=0x3 Assoc Grp=0x333D Xmit=0x16D0 Recv=0x16D0
45 1.937500 {MSRPC:17, TCP:15, IPv4:8} 172.16.11.124 test125.test.local DCOM DCOM
46 1.937500 {MSRPC:17, TCP:15, IPv4:8} test125.test.local 172.16.11.124 DCOM DCOM
47 1.937500 {MSRPC:17, TCP:15, IPv4:8} 172.16.11.124 test125.test.local DCOM DCOM
48 1.937500 {MSRPC:17, TCP:15, IPv4:8} test125.test.local 172.16.11.124 DCOM DCOM
49 1.953125 {MSRPC:17, TCP:15, IPv4:8} 172.16.11.124 test125.test.local MSRPC MSRPC: c/o Alter Cont: UUID{9556DC99-828C-11CF-A37E-00AA003240C7} WMI-IWbemServices Call=0x5
50 1.953125 {MSRPC:17, TCP:15, IPv4:8} test125.test.local 172.16.11.124 MSRPC MSRPC: c/o Alter Cont Resp: Call=0x5 Assoc Grp=0x333D Xmit=0x16D0 Recv=0x16D0
51 1.953125 {MSRPC:17, TCP:15, IPv4:8} 172.16.11.124 test125.test.local DCOM DCOM
52 1.953125 {MSRPC:17, TCP:15, IPv4:8} test125.test.local 172.16.11.124 DCOM DCOM
53 1.953125 {MSRPC:17, TCP:15, IPv4:8} 172.16.11.124 test125.test.local DCOM DCOM
54 1.953125 {MSRPC:17, TCP:15, IPv4:8} test125.test.local 172.16.11.124 DCOM DCOM
55 1.953125 {MSRPC:17, TCP:15, IPv4:8} 172.16.11.124 test125.test.local MSRPC MSRPC: c/o Alter Cont: UUID {1C1C45EE-4395-11D2-B60B-00104B703EFD} WMI-IWbemFetchSmartEnum Call=0x7
56 1.953125 {MSRPC:17, TCP:15, IPv4:8} test125.test.local 172.16.11.124 MSRPC MSRPC: c/o Alter Cont Resp: Call=0x7 Assoc Grp=0x333D Xmit=0x16D0 Recv=0x16D0
57 1.953125 {MSRPC:17, TCP:15, IPv4:8} 172.16.11.124 test125.test.local DCOM DCOM
58 1.953125 {MSRPC:17, TCP:15, IPv4:8} test125.test.local 172.16.11.124 DCOM DCOM
59 1.953125 {MSRPC:17, TCP:15, IPv4:8} 172.16.11.124 test125.test.local MSRPC MSRPC: c/o Alter Cont: UUID{423EC01E-2E35-11D2-B604-00104B703EFD} WMI-IWbemWCOSmartEnum Call=0x8
60 1.953125 {MSRPC:17, TCP:15, IPv4:8} test125.test.local 172.16.11.124 MSRPC MSRPC: c/o Alter Cont Resp: Call=0x8 Assoc Grp=0x333D Xmit=0x16D0 Recv=0x16D0
61 1.953125 {MSRPC:17, TCP:15, IPv4:8} 172.16.11.124 test125.test.local DCOM DCOM
62 2.015625 {MSRPC:17, TCP:15, IPv4:8} test125.test.local 172.16.11.124 DCOM DCOM

Там много вещей RPC/DCOM. Выглядит загадочно, не так ли? Но если вы посмотрите внимательно, то увидите, что происходят некоторые вещи WMI, например, WMI-IWbemLoginClientID, WMI-IWbemLevel1Login, WMI-IWbemServices, WMI-IWbemFetchSmartEnum и так далее. Поиск в MSDN расскажет нам больше о том, что здесь происходит. Например, на этой странице говорится, что «интерфейс IWbemServices используется клиентами и поставщиками для доступа к службам WMI», поэтому похоже, что все эти I-штучки являются интерфейсами WMI (API), которые вызываются на удаленной машине (с использованием DCOM). рабочей станцией, с которой мы запускаем наш скрипт. И некоторые из этих интерфейсов на самом деле кажутся недокументированными, поэтому мы не будем слишком беспокоиться о том, чтобы попытаться их понять.

Отсюда все становится довольно плотным. Во-первых, есть еще куча вещей TCP с пакетами RPC «Continued Response», которые, кажется, указывают на то, что соединения, установленные ранее, используются для какой-то цели. Я собираюсь пропустить несколько кадров из следующей части трассировки:

63 2.015625 {TCP:15, IPv4:8} test125.test.local 172.16.11.124 TCP TCP: [Продолжение к #62]Flags=….A…, SrcPort=1117, DstPort=1072, Len=1460, Seq=554835972 – 554837432, Ack=3011421991, Win=65061 (масштабный коэффициент 0) = 65061
64 2.015625 {TCP:15, IPv4:8} 172.16.11.124 test125.test.local TCP TCP: Flags=….A…, SrcPort=1072, DstPort=1117, Len=0, Seq=3011421991, Ack=554837432, Win = 65535 (масштабный коэффициент 0) = 65535
65 2.015625 {TCP:15, IPv4:8} test125.test.local 172.16.11.124 TCP TCP: [Продолжение к #62]Flags=….A…, SrcPort=1117, DstPort=1072, Len=1460, Seq=554837432 – 554838892, Ack=3011421991, Win=65061 (масштабный коэффициент 0) = 65061
66 2.015625 {TCP:15, IPv4:8} 172.16.11.124 test125.test.local TCP TCP: Flags=….A…, SrcPort=1072, DstPort=1117, Len=0, Seq=3011421991, Ack=554838892, Win = 65535 (масштабный коэффициент 0) = 65535
— 554840341, Ack=3011421991, Win=65061 (масштабный коэффициент 0) = 65061
68 2.015625 {MSRPC:17, TCP:15, IPv4:8} test125.test.local 172.16.11.124 MSRPC MSRPC: c/o Продолжение Ответ: WMI-IWbemWCOSmartEnum Call=0x8 Context=0x5 Hint=0x198C Cancels=0x0
.
.
.
155 2.031250 {MSRPC:17, TCP:15, IPv4:8} test125.test.local 172.16.11.124 MSRPC MSRPC: c/o Продолжение Ответ: WMI-IWbemServices Call=0x9 Context=0x3 Hint=0x904 Cancels=0x0
— 554925189, Ack=3011422236, Win=64816 (масштабный коэффициент 0) = 64816
157 2.031250 {TCP:15, IPv4:8} 172.16.11.124 test125.test.local TCP TCP: Flags=….A…, SrcPort=1072, DstPort=1117, Len=0, Seq=3011422236, Ack=554925189, Win = 65535 (масштабный коэффициент 0) = 65535
158 2.031250 {MSRPC:17, TCP:15, IPv4:8} 172.16.11.124 test125.test.local DCOM DCOM
— 3011423697, Ack=554925189, Win=65535 (масштабный коэффициент 0) = 65535
160 2.031250 {TCP:15, IPv4:8} test125.test.local 172.16.11.124 TCP TCP: Flags=….A…, SrcPort=1117, DstPort=1072, Len=0, Seq=554925189, Ack=3011423697, Win = 65535 (масштабный коэффициент 0) = 65535

Пока прошло всего две секунды. Теперь есть куча вещей DCOM, за которыми следуют TCP-соединения, завершающиеся с использованием FIN / ACK, поэтому я предполагаю, что скрипт, вероятно, выполнил свою работу и теперь очищает:

161 2.062500 {MSRPC:17, TCP:15, IPv4:8} test125.test.local 172.16.11.124 DCOM DCOM
162 2.062500 {MSRPC:17, TCP:15, IPv4:8} 172.16.11.124 test125.test.local DCOM DCOM
163 2.062500 {MSRPC:17, TCP:15, IPv4:8} test125.test.local 172.16.11.124 DCOM DCOM
164 2.062500 {MSRPC:17, TCP:15, IPv4:8} 172.16.11.124 test125.test.local DCOM DCOM
165 2.062500 {MSRPC:17, TCP:15, IPv4:8} test125.test.local 172.16.11.124 DCOM DCOM
166 2.062500 {MSRPC:17, TCP:15, IPv4:8} 172.16.11.124 test125.test.local DCOM DCOM
167 2.062500 {MSRPC:17, TCP:15, IPv4:8} test125.test.local 172.16.11.124 DCOM DCOM
168 2.062500 {MSRPC:17, TCP:15, IPv4:8} 172.16.11.124 test125.test.local DCOM DCOM
169 2.062500 {MSRPC:17, TCP:15, IPv4:8} test125.test.local 172.16.11.124 DCOM DCOM
170 2.078125 {TCP:15, IPv4:8} 172.16.11.124 test125.test.local TCP TCP: Flags=F…A…, SrcPort=1072, DstPort=1117, Len=0, Seq=3011424421, Ack=554926046, Win = 64678 (масштабный коэффициент 0) = 64678
171 2.078125 {TCP:15, IPv4:8} test125.test.local 172.16.11.124 TCP TCP: Flags=….A…, SrcPort=1117, DstPort=1072, Len=0, Seq=554926046, Ack=3011424422, Win = 64811 (масштабный коэффициент 0) = 64811
172 2.078125 {TCP:15, IPv4:8} test125.test.local 172.16.11.124 TCP TCP: Flags=F…A…, SrcPort=1117, DstPort=1072, Len=0, Seq=554926046, Ack=3011424422, Win = 64811 (масштабный коэффициент 0) = 64811
173 2.078125 {TCP:15, IPv4:8} 172.16.11.124 test125.test.local TCP TCP: Flags=….A…, SrcPort=1072, DstPort=1117, Len=0, Seq=3011424422, Ack=554926047, Win = 64678 (масштабный коэффициент 0) = 64678
174 2.093750 {TCP:9, IPv4:8} 172.16.11.124 test125.test.local TCP TCP: Flags=….A…, SrcPort=1069, DstPort=разрешение конечной точки DCE(135), Len=0, Seq=1441245035, Ack=871910766, Win=65339 (масштабный коэффициент 0) = 65339
175 2.093750 {TCP:11, IPv4:8} 172.16.11.124 test125.test.local TCP TCP: Flags=….A…, SrcPort=1070, DstPort=разрешение конечной точки DCE(135), Len=0, Seq=3003514721, Ack=4088701653, Win=65535 (коэффициент масштабирования 0) = 65535
176 2.546875 {TCP:18, IPv4:1} 172.16.11.124 dc181.test.local TCP TCP: Flags=.S……, SrcPort=1074, DstPort=разрешение конечной точки DCE(135), Len=0, Seq=4283854964, Ack=0, Win=65535 (коэффициент масштабирования 0) = 65535
177 2.546875 {TCP:18, IPv4:1} dc181.test.local 172.16.11.124 TCP TCP: Flags=.S..A…, SrcPort=разрешение конечной точки DCE(135), DstPort=1074, Len=0, Seq= 2447011944, Ack=4283854965, Win=16384 (масштабный коэффициент 0) = 16384
178 2.546875 {TCP:18, IPv4:1} 172.16.11.124 dc181.test.local TCP TCP: Flags=….A…, SrcPort=1074, DstPort=разрешение конечной точки DCE(135), Len=0, Seq=4283854965, Ack=2447011945, Win=65535 (масштабный коэффициент 0) = 65535

Теперь между test124 и контроллером домена происходят некоторые действия с DNS и LDAP. Я не уверен, почему это происходит, но я пропущу некоторые из этих кадров, так как их много:

179 2.546875 {MSRPC:19, TCP:18, IPv4:1} 172.16.11.124 dc181.test.local MSRPC MSRPC: c/o Bind: UUID {E1AF8308-5D1F-11C9-91A4-08002B14A0FA} Endpoint Mapper Call=0x1 Assoc Grp =0x0 Передать=0x16D0 Принять=0x16D0
180 2.546875 {MSRPC:19, TCP:18, IPv4:1} dc181.test.local 172.16.11.124 MSRPC MSRPC: c/o Bind Ack: Call=0x1 Assoc Grp=0x7DAD Xmit=0x16D0 Recv=0x16D0
181 2.546875 {MSRPC:19, TCP:18, IPv4:1} 172.16.11.124 dc181.test.local EPM EPM: запрос: ept_map: отчет о недоставке, служба сервера отслеживания v1.0, RPC v5, 0.0.0.0:135 (0x87) [Разрешение конечной точки DCE (135)]
182 2.546875 {MSRPC:19, TCP:18, IPv4:1} dc181.test.local 172.16.11.124 EPM EPM: Ответ: ept_map: 0x16C9A0D6 – EP_S_NOT_REGISTERED
183 2.546875 {DNS:21, UDP:20, IPv4:1} 172.16.11.124 dc181.test.local DNS DNS: QueryId = 0x896A, QUERY (стандартный запрос), запрос для _ldap._tcp.Default-First-Site._sites. dc._msdcs.test.local типа SRV в классе Internet
184 2.546875 {DNS:21, UDP:20, IPv4:1} dc181.test.local 172.16.11.124 DNS DNS: QueryId = 0x896A, QUERY (стандартный запрос), ответ – успех
185 2.546875 {LDAP:23, UDP:22, IPv4:1} 172.16.11.124 dc181.test.local LDAP LDAP: поисковый запрос, MessageID:4, BaseObject: NULL, SearchScope: базовый объект, SearchAlias: neverDerefAliases
186 2.546875 {LDAP:23, UDP:22, IPv4:1} dc181.test.local 172.16.11.124 LDAP LDAP: запись результата поиска, MessageID:4, статус: успешно
.
.
.
212 6.546875 {DNS:32, UDP:5, IPv4:1} 172.16.11.124 dc181.test.local DNS DNS: QueryId = 0x266D, QUERY (стандартный запрос), запрос для download.windowsupdate.com типа Host Addr в классе Internet
213 6.546875 {ARP:4} 172.16.11.181 172.16.11.1 ARP ARP: запрос, 172.16.11.181 запрашивает 172.16.11.1
214 7.546875 {DNS:32, UDP:5, IPv4:1} 172.16.11.124 dc181.test.local DNS DNS: QueryId = 0x266D, QUERY (стандартный запрос), запрос для download.windowsupdate.com типа Host Addr в классе Internet
215 8.546875 {DNS:32, UDP:5, IPv4:1} 172.16.11.124 dc181.test.local DNS DNS: QueryId = 0x266D, QUERY (стандартный запрос), запрос для download.windowsupdate.com типа Host Addr в классе Internet
216 9.281250 {ARP:4} 172.16.11.181 172.16.11.1 ARP ARP: запрос, 172.16.11.181 запрашивает 172.16.11.1

В этот момент сценарий уже закончился, поэтому я прекратил захват.

Анализ захвата для ChangeIPAddress.vbs

Теперь у нас есть некоторое представление о том, как выглядит захват успешного удаленного сценария:

Немного DNS и ARP
Установление сеансов TCP с использованием трехэтапного рукопожатия
Привязки RPC и DCOM
Больше рукопожатий TCP
Материал Kerberos (машины находятся в домене)
Другие материалы RPC/DCOM
Больше рукопожатий TCP, больше Kerberos, гораздо больше RPC/DCOM в сочетании с TCP-коммуникациями.
БОЛЬШЕ DCOM с последующим разрывом сеансов TCP, установленных ранее

И все это заняло чуть более 2 секунд.

Теперь давайте посмотрим на наш захват для ChangeIPAddress.vbs (скрипт, который генерирует ошибку RPC, когда мы запускаем его удаленно) и посмотрим, чем он отличается от приведенного выше.

Просто некоторые вещи Netmon.

3 0,000000 {DNS:3, UDP:2, IPv4:1} test124.test.local dc181.test.local DNS DNS: QueryId = 0x7869, QUERY (стандартный запрос), запрос для test125.test.local типа Адрес узла класс Интернет
4 0,000000 {DNS:3, UDP:2, IPv4:1} dc181.test.local test124.test.local DNS DNS: QueryId = 0x7869, QUERY (стандартный запрос), ответ – успех
5 0.015625 {ARP:4} 172.16.11.124 172.16.11.125 ARP ARP: запрос, 172.16.11.124 запрашивает 172.16.11.125
6 0.015625 {ARP:4} 172.16.11.125 172.16.11.124 ARP ARP: Ответ, 172.16.11.125 в 00-11-D8-E3-EC-84
7 0,015625 {TCP:6, IPv4:5} test124.test.local test125.test.local TCP TCP: Flags=.S……, SrcPort=1063, DstPort=разрешение конечной точки DCE(135), Len=0, Seq= 539163285, Ack=0, Win=65535 (масштабный коэффициент 0) = 65535
8 0,015625 {TCP:6, IPv4:5} test125.test.local test124.test.local TCP TCP: Flags=.S..A…, SrcPort=разрешение конечной точки DCE(135), DstPort=1063, Len=0, Seq=981335265, Ack=539163286, Win=65535 (масштабный коэффициент 0) = 65535
9 0.015625 {TCP:6, IPv4:5} test124.test.local test125.test.local TCP TCP: Flags=….A…, SrcPort=1063, DstPort=разрешение конечной точки DCE(135), Len=0, Seq= 539163286, Ack=981335266, Win=65535 (масштабный коэффициент 0) = 65535

ARP, затем DNS, затем рукопожатие TCP — так же, как и раньше.

10 0,015625 {MSRPC:7, TCP:6, IPv4:5} test124.test.local test125.test.local MSRPC MSRPC: c/o Bind: UUID{99FCFEC4-5260-101B-BBCB-00AA0021347A} DCOM-IObjectExporter Call= 0x1 Assoc Grp=0x0 Xmit=0x16D0 Recv=0x16D0
11 0.015625 {MSRPC:7, TCP:6, IPv4:5} test125.test.local test124.test.local MSRPC MSRPC: c/o Bind Ack: Call=0x1 Assoc Grp=0x32EA Xmit=0x16D0 Recv=0x16D0
12 0.031250 {MSRPC:7, TCP:6, IPv4:5} test124.test.local test125.test.local DCOM DCOM
13 0.031250 {MSRPC:7, TCP:6, IPv4:5} test125.test.local test124.test.local DCOM DCOM
14 0.078125 {TCP:8, IPv4:5} test124.test.local test125.test.local TCP TCP: Flags=.S……, SrcPort=1064, DstPort=разрешение конечной точки DCE(135), Len=0, Seq= 1367843928, Ack=0, Win=65535 (масштабный коэффициент 0) = 65535
15 0.078125 {TCP:8, IPv4:5} test125.test.local test124.test.local TCP TCP: Flags=.S..A…, SrcPort=разрешение конечной точки DCE(135), DstPort=1064, Len=0, Seq=3625279350, Ack=1367843929, Win=65535 (масштабный коэффициент 0) = 65535
16 0.078125 {TCP:8, IPv4:5} test124.test.local test125.test.local TCP TCP: Flags=….A…, SrcPort=1064, DstPort=разрешение конечной точки DCE(135), Len=0, Seq= 1367843929, Ack=3625279351, Win=65535 (масштабный коэффициент 0) = 65535
17 0.078125 {UDP:9, IPv4:1} test124.test.local dc181.test.local KerberosV5 KerberosV5: Область запросов TGS: TEST.LOCAL Имя: RPCSS/test125.test.local
18 0.078125 {UDP:9, IPv4:1} dc181.test.local test124.test.local KerberosV5 KerberosV5: TGS Response Cname: Administrator

RPC, затем DCOM, затем еще одно рукопожатие TCP, затем некоторые вещи Kerberos. Выглядит так же, как и раньше.

19 0.078125 {MSRPC:10, TCP:8, IPv4:5} test124.test.local test125.test.local MSRPC MSRPC: c/o Bind: UUID{000001A0-0000-0000-C000-0000000000046} DCOM-IRemoteSCMActivator Call= 0x2 Assoc Grp=0x32EA Xmit=0x16D0 Recv=0x16D0
20 0.093750 {ARP:11} 172.16.11.125 172.16.11.181 ARP ARP: запрос, 172.16.11.125 запрашивает 172.16.11.181
21 0.093750 {MSRPC:10, TCP:8, IPv4:5} test125.test.local test124.test.local MSRPC MSRPC: c/o Bind Ack: Call=0x2 Assoc Grp=0x32EA Xmit=0x16D0 Recv=0x16D0
22 0.093750 {MSRPC:10, TCP:8, IPv4:5} test124.test.local test125.test.local MSRPC MSRPC: c/o Alter Cont: UUID{000001A0-0000-0000-C000-000000000046} Вызов DCOM-IRemoteSCMActivator =0x2
23 0.093750 {MSRPC:10, TCP:8, IPv4:5} test125.test.local test124.test.local MSRPC MSRPC: c/o Alter Cont Resp: Call=0x2 Assoc Grp=0x32EA Xmit=0x16D0 Recv=0x16D0
24 0.093750 {MSRPC:10, TCP:8, IPv4:5} test124.test.local test125.test.local DCOM DCOM
25 0.093750 {MSRPC:10, TCP:8, IPv4:5} test125.test.local test124.test.local DCOM DCOM
26 0.093750 {TCP:12, IPv4:5} test124.test.local test125.test.local TCP TCP: Flags=.S……, SrcPort=1066, DstPort=1117, Len=0, Seq=1180773456, Ack=0, Win=65535 (масштабный коэффициент 0) = 65535
27 0.093750 {TCP:12, IPv4:5} test125.test.local test124.test.local TCP TCP: Flags=.S..A…, SrcPort=1117, DstPort=1066, Len=0, Seq=539972629, Ack =1180773457, Win=65535 (масштабный коэффициент 0) = 65535
28 0.093750 {TCP:12, IPv4:5} test124.test.local test125.test.local TCP TCP: Flags=….A…, SrcPort=1066, DstPort=1117, Len=0, Seq=1180773457, Ack=539972630, Win=65535 (масштабный коэффициент 0) = 65535
29 0.093750 {UDP:13, IPv4:1} test124.test.local dc181.test.local KerberosV5 KerberosV5: Область запросов TGS: TEST.LOCAL Имя: TEST125$
30 0.109375 {UDP:13, IPv4:1} dc181.test.local test124.test.local KerberosV5 KerberosV5: TGS Response Cname: Administrator

Тот же узор.

31 0.109375 {MSRPC:14, TCP:12, IPv4:5} test124.test.local test125.test.local MSRPC MSRPC: c/o Bind: UUID{00000143-0000-0000-C000-000000000046} DCOM-IRemUnknown2 Call= 0x1 Assoc Grp=0x0 Xmit=0x16D0 Recv=0x16D0
32 0.109375 {MSRPC:14, TCP:12, IPv4:5} test125.test.local test124.test.local MSRPC MSRPC: c/o Bind Ack: Call=0x1 Assoc Grp=0x333E Xmit=0x16D0 Recv=0x16D0
33 0.109375 {MSRPC:14, TCP:12, IPv4:5} test124.test.local test125.test.local MSRPC MSRPC: c/o Alter Cont: UUID{00000143-0000-0000-C000-000000000046} Вызов DCOM-IRemUnknown2 =0x1
34 0.109375 {MSRPC:14, TCP:12, IPv4:5} test125.test.local test124.test.local MSRPC MSRPC: c/o Alter Cont Resp: Call=0x1 Assoc Grp=0x333E Xmit=0x16D0 Recv=0x16D0
35 0.109375 {MSRPC:14, TCP:12, IPv4:5} test124.test.local test125.test.local DCOM DCOM
36 0.109375 {MSRPC:14, TCP:12, IPv4:5} test125.test.local test124.test.local DCOM DCOM
37 0.109375 {MSRPC:14, TCP:12, IPv4:5} test124.test.local test125.test.local MSRPC MSRPC: c/o Alter Cont: UUID {D4781CD6-E5D3-44DF-AD94-930EFE48A887} Вызов WMI-IWbemLoginClientID =0x2
38 0.109375 {MSRPC:14, TCP:12, IPv4:5} test125.test.local test124.test.local MSRPC MSRPC: c/o Alter Cont Resp: Call=0x2 Assoc Grp=0x333E Xmit=0x16D0 Recv=0x16D0

39 0.109375 {MSRPC:14, TCP:12, IPv4:5} test124.test.local test125.test.local DCOM DCOM
40 0.109375 {MSRPC:14, TCP:12, IPv4:5} test125.test.local test124.test.local DCOM DCOM
41 0.109375 {MSRPC:14, TCP:12, IPv4:5} test124.test.local test125.test.local MSRPC MSRPC: c/o Alter Cont: UUID{F309AD18-D86A-11D0-A075-00C04FB68820} WMI-IWbemLevel1Login Call =0x3
42 0.109375 {MSRPC:14, TCP:12, IPv4:5} test125.test.local test124.test.local MSRPC MSRPC: c/o Alter Cont Resp: Call=0x3 Assoc Grp=0x333E Xmit=0x16D0 Recv=0x16D0

43 0.109375 {MSRPC:14, TCP:12, IPv4:5} test124.test.local test125.test.local DCOM DCOM
44 0.109375 {MSRPC:14, TCP:12, IPv4:5} test125.test.local test124.test.local DCOM DCOM
45 0.109375 {MSRPC:14, TCP:12, IPv4:5} test124.test.local test125.test.local DCOM
COM

46 0.109375 {MSRPC:14, TCP:12, IPv4:5} test125.test.local test124.test.local DCOM DCOM
47 0.109375 {MSRPC:14, TCP:12, IPv4:5} test124.test.local test125.test.local MSRPC MSRPC: c/o Alter Cont: UUID{9556DC99-828C-11CF-A37E-00AA003240C7} Вызов WMI-IWbemServices =0x5
48 0.109375 {MSRPC:14, TCP:12, IPv4:5} test125.test.local test124.test.local MSRPC MSRPC: c/o Alter Cont Resp: Call=0x5 Assoc Grp=0x333E Xmit=0x16D0 Recv=0x16D0
49 0.109375 {MSRPC:14, TCP:12, IPv4:5} test124.test.local test125.test.local DCOM DCOM
50 0.109375 {MSRPC:14, TCP:12, IPv4:5} test125.test.local test124.test.local DCOM DCOM
51 0.109375 {MSRPC:14, TCP:12, IPv4:5} test124.test.local test125.test.local DCOM DCOM
52 0.109375 {MSRPC:14, TCP:12, IPv4:5} test125.test.local test124.test.local DCOM DCOM
53 0.109375 {MSRPC:14, TCP:12, IPv4:5} test124.test.local test125.test.local MSRPC MSRPC: c/o Alter Cont: UUID{1C1C45EE-4395-11D2-B60B-00104B703EFD} Вызов WMI-IWbemFetchSmartEnum =0x7 54 0.109375 {MSRPC:14, TCP:12, IPv4:5} test125.test.local test124.test.local MSRPC MSRPC: c/o Alter Cont Resp: Call=0x7 Assoc Grp=0x333E Xmit=0x16D0 Recv=0x16D0
55 0.109375 {MSRPC:14, TCP:12, IPv4:5} test124.test.local test125.test.local DCOM DCOM
56 0.109375 {MSRPC:14, TCP:12, IPv4:5} test125.test.local test124.test.local DCOM DCOM
57 0.109375 {MSRPC:14, TCP:12, IPv4:5} test124.test.local test125.test.local MSRPC MSRPC: c/o Alter Cont: UUID{423EC01E-2E35-11D2-B604-00104B703EFD} Вызов WMI-IWbemWCOSmartEnum =0x8
58 0.109375 {MSRPC:14, TCP:12, IPv4:5} test125.test.local test124.test.local MSRPC MSRPC: c/o Alter Cont Resp: Call=0x8 Assoc Grp=0x333E Xmit=0x16D0 Recv=0x16D0

59 0.109375 {MSRPC:14, TCP:12, IPv4:5} test124.test.local test125.test.local DCOM DCOM

Целая куча вещей RPC/DCOM, как и другая трассировка.

60 0.187500 {TCP:6, IPv4:5} test124.test.local test125.test.local TCP TCP: Flags=….A…, SrcPort=1063, DstPort=разрешение конечной точки DCE(135), Len=0, Seq= 539163382, Ack=981335462, Win=65339 (масштабный коэффициент 0) = 65339
61 0.187500 {MSRPC:14, TCP:12, IPv4:5} test125.test.local test124.test.local DCOM DCOM
62 0.187500 {TCP:12, IPv4:5} test125.test.local test124.test.local TCP TCP: [Продолжение к #61]Flags=….A…, SrcPort=1117, DstPort=1066, Len=1460, Seq =539975906 – 539977366, Ack=1180776977, Win=65061 (масштабный коэффициент 0) = 65061
63 0.187500 {TCP:12, IPv4:5} test124.test.local test125.test.local TCP TCP: Flags=….A…, SrcPort=1066, DstPort=1117, Len=0, Seq=1180776977, Ack=539977366, Win=65535 (масштабный коэффициент 0) = 65535
64 0.187500 {TCP:12, IPv4:5} test125.test.local test124.test.local TCP TCP: [Продолжение к #61]Flags=….A…, SrcPort=1117, DstPort=1066, Len=1460, Seq =539977366 – 539978826, Ack=1180776977, Win=65061 (масштабный коэффициент 0) = 65061
65 0.187500 {TCP:12, IPv4:5} test124.test.local test125.test.local TCP TCP: Flags=….A…, SrcPort=1066, DstPort=1117, Len=0, Seq=1180776977, Ack=539978826, Win=65535 (масштабный коэффициент 0) = 65535
66 0.187500 {TCP:12, IPv4:5} test125.test.local test124.test.local TCP TCP: [Продолжение к #61]Flags=…PA…, SrcPort=1117, DstPort=1066, Len=1449, Seq= 539978826 – 539980275, Ack=1180776977, Win=65061 (масштабный коэффициент 0) = 65061
67 0.187500 {MSRPC:14, TCP:12, IPv4:5} test125.test.local test124.test.local MSRPC MSRPC: c/o Продолжение Ответ: WMI-IWbemWCOSmartEnum Call=0x8 Context=0x5 Hint=0x198C Cancels=0x0
.
.
.
148 0.187500 {MSRPC:14, TCP:12, IPv4:5} test125.test.local test124.test.local MSRPC MSRPC: c/o Продолжение Ответ: WMI-IWbemServices Call=0x9 Context=0x3 Hint=0x1F84 Cancels=0x0
149 0.187500 {TCP:12, IPv4:5} test125.test.local test124.test.local TCP TCP: [продолжение к #148]Flags=….A…, SrcPort=1117, DstPort=1066, Len=1460, Seq =540058365 – 540059825, Ack=1180777222, Win=64816 (масштабный коэффициент 0) = 64816
150 0.187500 {TCP:12, IPv4:5} test124.test.local test125.test.local TCP TCP: Flags=….A…, SrcPort=1066, DstPort=1117, Len=0, Seq=1180777222, Ack=540059825, Win=65535 (масштабный коэффициент 0) = 65535
151 0.187500 {TCP:12, IPv4:5} test125.test.local test124.test.local TCP TCP: [продолжение к #148]Flags=….A…, SrcPort=1117, DstPort=1066, Len=1460, Seq =540059825 – 540061285, Ack=1180777222, Win=64816 (масштабный коэффициент 0) = 64816
152 0.187500 {TCP:12, IPv4:5} test125.test.local test124.test.local TCP TCP: [продолжение к #148]Flags=…PA…, SrcPort=1117, DstPort=1066, Len=1449, Seq= 540061285 – 540062734, Ack=1180777222, Win=64816 (масштабный коэффициент 0) = 64816
153 0.187500 {TCP:12, IPv4:5} test124.test.local test125.test.local TCP TCP: Flags=….A…, SrcPort=1066, DstPort=1117, Len=0, Seq=1180777222, Ack=540062734, Win=65535 (масштабный коэффициент 0) = 65535
154 0.187500 {MSRPC:14, TCP:12, IPv4:5} test125.test.local test124.test.local MSRPC MSRPC:

Компьютерные сети

Управление сетями Windows с помощью сценариев. Часть 8. Устранение неполадок с удаленными сценариями с помощью Network Monitor 3.0

Использование сетевого монитора 3.0

Захват следов

Анализ захвата для ChangeGateway.vbs

Анализ захвата для ChangeIPAddress.vbs

РЕКОМЕНДУЕМЫЕ СТАТЬИ