Безопасно ли запускать Wireshark на рабочем сервере IIS7? Есть ли хорошая альтернатива?
Мы размещаем несколько сайтов ASP.NET на сервере IIS7. Иногда нам хотелось бы иметь возможность регистрировать данные HTTP POST для устранения проблем. IIS позволяет нам регистрировать строку запроса, но не данные POST - по крайней мере, мы не нашли способ.
Как вы думаете, безопасно ли использовать Wireshark (или Netmon, или другой анализатор) на рабочем сервере? Мое внутреннее чувство говорит "нет", но я хотел бы услышать, что думают другие.
Было бы лучше использовать зеркалирование портов и запускать анализатор в другом окне на том же коммутаторе. К сожалению, все серверы на этом коммутаторе являются производственными серверами... поэтому нам придется повлиять на один из них.
Спасибо за вашу помощь,
Ричард
5 ответов
Служба поддержки Microsoft Pro часто запрашивает установку Netmon на производственном сервере, чтобы отслеживать проблемы. Если MSFT сами захотят, чтобы вы использовали утилиту захвата пакетов (в данном случае Netmon) на производственном сервере, это хороший признак того, что все в порядке. (Полагаю, в этом утверждении есть, по крайней мере, несколько логических ошибок, но для меня это звучало хорошо. =)) Насколько мне известно, нет ничего дестабилизирующего в размещении утилиты захвата пакетов на рабочем сервере.
Лично я бы использовал Netmon на сервере Windows через Wireshark. Первая причина в том, что, по моему опыту, поддержка Pro не будет поддерживать захват Wireshark. Вторая причина в том, что... ну... мне больше нравится Netmon, но это субъективно. знак равно
ИМХО, нет никакого риска или вреда при запуске программы захвата пакетов на рабочем сервере. Во многих случаях проблема заключается в том, что вам нужно запустить его на "исходном" сервере, чтобы определить причину проблемы.
Если вы считаете, что работающий персонал нюхает риск - безопасность, производительность или выход за рамки своего уровня квалификации, у вас есть большая проблема.
Вы ХОТИТЕ, чтобы сотрудники знали, как делать такие вещи - это заставляет их думать лучше и поднимает уровень вопросов, которые они поднимают к столу - если, конечно, вы не боитесь безопасности работы, если серверные люди смогут читать SRC/DST данные.
Похоже, вы хотите что-то вроде SmartSniff.
Wireshark выполнит эту работу, поскольку он также использует WinPcap, но я думаю, что Smart Sniff намного проще и проще в использовании, если вы не выполняете расширенную трассировку.
Наша среда не позволяет использовать решения для захвата сети на производственных серверах по основной причине, по которой вы не хотите, чтобы администраторы уровня легко выполняли захват сети.
Фактические файлы, необходимые для запуска WireShark и / или NetMon, сами по себе не представляют большой опасности, скорее, возможность администраторов выполнять захваты может считаться риском.