Безопасно ли запускать Wireshark на производственном сервере IIS7? Есть ли хорошая альтернатива?
Мы размещаем множество сайтов ASP.NET на сервере IIS7. Иногда мы хотели бы иметь возможность регистрировать данные HTTP POST для устранения проблем. IIS позволяет нам регистрировать строку запроса, но не данные POST - по крайней мере, мы не нашли способ.
Как вы думаете, безопасно ли использовать Wireshark (или Netmon, или другой сниффер) на рабочем сервере? Мое чутье говорит «нет», но я хотел бы услышать, что думают другие.
Было бы лучше использовать зеркалирование портов и запускать сниффер на другом компьютере на том же коммутаторе. К сожалению, все серверы на этом коммутаторе являются производственными серверами ... поэтому нам придется затронуть один из них.
Спасибо за вашу помощь,
Ричард
Спустя более десяти лет не обращайте внимания на исходный пост 2009 года и считайте, что в 2020 году Microsoft рекомендует людям использовать WireShark. Благодаря Джастин в комментариях ниже для подсказки.
Служба поддержки Microsoft Pro часто просит вас установить Netmon на рабочий сервер, чтобы помочь в отслеживании проблем. Если сами MSFT хотят, чтобы вы использовали утилиту захвата пакетов (в данном случае Netmon) на рабочем сервере, то это хороший показатель того, что это нормально. (Я полагаю, что в этом утверждении есть по крайней мере несколько логических ошибок, но мне оно показалось хорошим. =)) Насколько мне известно, размещение утилиты захвата пакетов на рабочем сервере не дестабилизирует.
Лично я бы использовал Netmon на сервере Windows поверх Wireshark. Первая причина заключается в том, что, по моему опыту, Pro Support не поддерживает захваты Wireshark. Вторая причина в том, что ... ну ... мне больше нравится Netmon, но это субъективно. знак равно
IMHO, нет никакого риска или вреда при запуске программы захвата пакетов на производственном сервере. Во многих случаях проблема такова, что вам необходимо запустить ее на «исходном» сервере, чтобы определить причину проблемы.
Если вы считаете, что сотрудники, занимающиеся поиском информации, представляют собой риск - безопасность, производительность или уровень их квалификации, у вас есть большая проблема.
Вы ХОТИТЕ, чтобы сотрудники знали, как делать такие вещи - это заставляет их думать лучше и поднимает уровень вопросов, которые они задают, - если, конечно, вы не боитесь безопасности работы, поскольку серверные люди могут читать SRC / DST данные.
Похоже, вы хотите что-то вроде SmartSniff .
Wireshark выполнит эту работу, поскольку он также использует WinPcap, но я думаю, что Smart Sniff намного проще и проще в использовании, если вы не выполняете расширенную трассировку.
(источник: nirsoft.net)
Наша среда не позволяет использовать решения для захвата сети на производственных серверах по той причине, что вы не хотите, чтобы администраторам уровней было слишком легко выполнять захват сети.
Фактические файлы, необходимые для запуска WireShark и / или NetMon, сами по себе не представляют особого риска, скорее, способность администраторов выполнять захват можно рассматривать как риск.