Анализатор анализаторы сетевых протоколов

7.3.2. Анализаторы протоколов

Анализатор протоколов представляет собой либо специализированное устройство, либо персональный компьютер, обычно переносной, класса Notebook, оснащенный специальной сетевой картой и соответствующим программным обеспечением. Применяемые сетевая карта и программное обеспечение должны соответствовать технологии сети (Ethernet, Token Ring, FDDI, Fast Ethernet). Анализатор подключается к сети точно так же, как и обычный узел. Отличие состоит в том, что анализатор может принимать все пакеты данных, передаваемые по сети, в то время как обычная станция — только адресованные ей. Для этого сетевой адаптер анализатора протоколов переводится в режим «беспорядочного» захвата — promiscuous mode.

Программное обеспечение анализатора состоит из ядра, поддерживающего работу сетевого адаптера и программного обеспечения, декодирующего протокол канального уровня, с которым работает сетевой адаптер, а также наиболее распространенные протоколы верхних уровней, например IP, TCP, ftp, telnet, HTTP, IPX, NCP, NetBEUI, DECnet и т. п. В состав некоторых анализаторов может входить также экспертная система, которая позволяет выдавать пользователю рекомендации о том, какие эксперименты следует проводить в данной ситуации, что могут означать те или иные результаты измерений, как устранить некоторые виды неисправности сети.

Анализаторы протоколов имеют некоторые общие свойства.

  • Возможность (кроме захвата пакетов) измерения среднестатистических показателей трафика в сегменте локальной сети, в котором установлен сетевой адаптер анализатора. Обычно измеряется коэффициент использования сегмента, матрицы перекрестного трафика узлов, количество хороших и плохих кадров, прошедших через сегмент.
  • Возможность работы с несколькими агентами, поставляющими захваченные пакеты из разных сегментов локальной сети. Эти агенты чаще всего взаимодействуют с анализатором протоколов по собственному протоколу прикладного уровня, отличному от SNMP или CMIP.
  • Наличие развитого графического интерфейса, позволяющего представить результаты декодирования пакетов с разной степенью детализации.
  • Фильтрация захватываемых и отображаемых пакетов. Условия фильтрации задаются в зависимости от значения адресов назначения и источника, типа протокола или значения определенных полей пакета. Пакет либо игнорируется, либо записывается в буфер захвата. Использование фильтров значительно ускоряет и упрощает анализ, так как исключает захват или просмотр ненужных в данный момент пакетов.
  • Использование триггеров. Триггеры — это задаваемые администратором некоторые условия начала и прекращения процесса захвата данных из сети. Такими условиями могут быть: время суток, продолжительность процесса захвата, появление определенных значений в кадрах данных. Триггеры могут использоваться совместно с фильтрами, позволяя более детально и тонко проводить анализ, а также продуктивнее расходовать ограниченный объем буфера захвата.
  • Многоканальность. Некоторые анализаторы протоколов позволяют проводить одновременную запись пакетов от нескольких сетевых адаптеров, что удобно для сопоставления процессов, происходящих в разных сегментах сети. Возможности анализа проблем сети на физическом уровне у анализаторов протоколов минимальные, поскольку всю информацию они получают от стандартных сетевых адаптеров. Поэтому они передают и обобщают информацию физического уровня, которую сообщает им сетевой адаптер, а она во многом зависит от типа сетевого адаптера. Некоторые сетевые адаптеры сообщают более детальные данные об ошибках кадров и интенсивности коллизий в сегменте, а некоторые вообще не передают такую информацию верхним уровням протоколов, на которых работает анализатор протоколов.
Читайте также:  Глобальная компьютерная сеть в информационном обмене

Источник

Анализаторы протоколов

Инструмент с открытым исходным кодом для анализа и визуализации трафика.

Wireshark

Wireshark – анализатор сетевых протоколов, который позволяет вам фиксировать и в интерактивном режиме просматривать содержание сетевых фреймов.

York

York — это сниффер для сетевого трафика и анализатор сетевых пакетов в одной программе.

SoftPerfect Network Protocol Analyzer

SoftPerfect Network Protocol Analyzer — анализатор сетевых протоколов (снифер) для анализа, отладки, управления и мониторинга сетевых соединений.

dSploit

Утилита для проникновения и проведения анализа мобильных сетей Android-устройств.

Professional Look at Net

Сетевой сканер и сниффер в одной программе.

CommView

CommView является инструментом для мониторинга сетевой активности с возможностью записи и анализа пакетов в сетях типа Ethernet.

DIAG Decompress plugin

SAP DIAG — это плагин, который расширяет базовый функционал WireShark.

Accurate Network Monitor

Программа для перехвата сетевого траффика. Позволяет следить за потоком сетевых данных tcp/ip udp/ip, вести лог с возможностью его воспроизведения и последующего анализа.

TracePlus32 Web Detective

Утилита для анализа протоколов HTTP, DASL,Delta-V и WebDAV.

MicroOLAP TCPDUMP for Windows® 3.9

TCPDUMP for Windows — клон TCPDUMP для UNIX, скомпилированный с Packet Sniffer SDK вместо WinPCap

Netdude

Netdude – утилита для анализа и редактирования результатов работы tcpdump.

ScoopLm v1.9.2

ScoopLm перехватывает LM/NTLM информацию идентификации (LanManager и Windows NT challenge/response) в сети. поддерживает microsoft-ds (Direct SMB hosting service; 445 NTLMSSP), ActiveDirectory, NTLMv2 on NetBIOS over TCP/IP, Telnet, IIS (HTTP) и DCOM over TCP/IP.

Источник

Анализаторы протоколов

Современные анализаторы протоколов должны следить за сетью и собирать подробную статистику об ее работе. Последнее поколение анализаторов протоколов предоставляет возможность всестороннего слежения как за производительностью и загруженностью всей сети, так и за функционированием отдельного приложения индивидуального пользователя. Анализаторы протоколов имеют определенные преимущества перед другими технологиями: анализ и нахождение неисправностей по ходу работы, оценка производительности при планировании сети и решение проблем функционирования сетевых приложений, что недоступно для систем удаленного контроля и управления сетью.

Читайте также:  Что такое локальная вычислительная сеть примеры

Программные анализаторы локальных сетей

На низшей ступени анализаторов LAN находятся программные анализаторы. Цена получается низкой за счет применения ПО, работающего под обычной операционной системой и использования имеющейся сетевой карты.

Для сетей Ethernet и Token Ring сетевой адаптер должен поддерживать так называемый беспорядочный режим (Promiscuous Mode) при котором в сети обнаруживаются и передаются для дальнейшего анализа в компьютер все фреймы вне зависимости от их конечного адреса. Без этого режима сетевой адаптер будет пропускать в компьютер фреймы только со своим MAC-адресом, что делает анализ малоинформативным.

Поскольку программный анализатор – это программа, выполняемая на компьютере, то, по сути дела, все функции анализа выполняет компьютер. Вычислительная мощь компьютера, количество памяти, возможности сетевого адаптера и степень загруженности сети – все это сказывается на характеристиках программного анализатора.

Аппаратные анализаторы локальных сетей

Когда необходима высокая производительность и подробный анализ протоколов и трафика, то тогда придется покупать аппаратный анализатор протоколов. Возросшие требования по мониторингу скоростного трафика удовлетворяются применением специализированной аппаратной схемы со встроенным программным обеспечением. В аппаратной схеме применяются процессоры, полностью посвященные задачам перехвата и анализа сетевых данных. В отличие от своих программных «братьев» характеристики перехвата и анализа фреймов у аппаратных анализаторов не зависят от производительности процессора компьютера.

Аппаратные анализаторы содержат специальные схемы, которые могут быть настроены для фильтрации по определенным условиям, как входящих, так и исходящих фреймов. Эти схемы позволяют избежать посылки на процессор сигналов прерывания, «предлагающих» ему заняться работой по фильтрации, и уменьшают или исключают возможность пропуска необходимых фреймов в сильно загруженных сетях.

Другой важной особенностью качественных аппаратных анализаторов является возможность мониторинга дуплексных сетей Ethernet. Многие сети, особенно те, в которых применяются коммутаторы, могут проверяться только аппаратными анализаторами, способными поддерживать дуплексный режим. Работа в дуплексном режиме не исключает возможности подключения аппаратного анализатора к стандартному порту коммутатора.

Некоторые программные анализаторы поддерживают многосегментный анализ. При этом производится мониторинг более чем одного сегмента сети одновременно. Например, обе стороны маршрутизатора, локальная и глобальная, могут отслеживаться одновременно для анализа трафика, проходящего через маршрутизатор. Если Вы сталкиваетесь с неисправностями маршрутизации, коммутирования и временными задержками, то многосегметный анализ поможет проверить правильность маршрутизации или коммутации и обнаружить чрезмерные задержки при передаче пакетов.

Анализаторы глобальных сетей

В силу специфики работы глобальных сетей программных анализаторов для них не существует. По своей природе глобальные сети двунаправлены. Это значит, что аппаратура передачи данных (data communications equipment, DCE) и оконечное оборудование (data terminal equipment, DTE) имеют один приемник и один передатчик. Кроме того, для приложений WAN часто необходим специализированный интерфейс, учитывающий множество скоростей и оконечных устройств. Для мониторинга трафика в обоих направлениях анализатор должен следить как за стороной передачи, так и за стороной приема. Для этого необходимо иметь два приемника.

Читайте также:  Параметры сетевой модели строительства

При слежении за трафиком WAN-анализатор должен «понимать» различные типы инкапсуляций (вложений протоколов), применяемых в сети. Таких как PPP, frame relay, SDLC и т.д. При покупке WAN-анализатора необходимо рассматривать его совместимость с LAN-анализатором.

Распределенные анализаторы предназначены для проведения анализа в ключевых точках по всей сети. Идея состоит в том, чтобы разместить анализаторы в различных сегментах сети и управлять ими удаленно, из одного места.

Распределенные анализаторы могут быть как аппаратными, так и программными для локальных сетей, и только аппаратными для глобальных. Программные анализаторы часто размещают на компьютерах пользователей и в случае необходимости запускают их в фоновом режиме. В зависимости от потребностей количество «агентов» распределенного анализатора может составлять от двух до нескольких сотен. При выборе компьютеров для размещения «агентов» следует руководствоваться определенными соображениями. Некоторые пользователи устанавливают компьютеры, полностью посвященные работе приложений анализатора. Это гарантирует постоянный доступ и исключает возможность изменения конфигурации таким образом, что это остановит работу «агента». Кроме того, характеристики анализатора будут лучше, если на компьютере одновременно не будут запускаться конкурирующие приложения.

Блоки аппаратного анализатора размещают в различных местах по всей сети. Аппаратные анализаторы часто применяются как для обычного мониторинга сети, так и для анализа. Текущее состояние сети можно сравнивать с данными собранными ранее, что позволяет увидеть отклонения в степени загруженности сети и принять меры раньше, чем возникнут проблемы. Если Вы собираетесь устанавливать распределенный анализатор в сети, то продумайте способ подключения и управления блоками. Помимо подключения через локальную сеть надо предусмотреть подключение по телефонной линии. Распределенный анализатор, к которому невозможно подключиться по причине выхода сети из строя, принесет мало пользы. Распределенный аппаратный анализатор должен поддерживать метод сегментированной коммутации.

Многие пользователи выбирают комбинацию аппаратных и программных анализаторов в распределенной системе. Аппаратные анализаторы размещают в критически важных участках, таких как магистраль Ethernet или линия ATM, или frame relay глобальной сети. Они дополняются распределенными программными анализаторами, работающими на компьютерах, подключенных к менее критическим участкам Ethernet.

Часто программные анализаторы размещают на компьютерах пользователей в ключевых сегментах по всей сети, а аппаратные анализаторы устанавливают возле маршрутизаторов и коммутаторов в помещении для оборудования. Этот способ выгоден тем, что обеспечивает низкую стоимость анализа индивидуальных сегментов и, в то же время, помещает мощь аппаратных анализаторов в то место, где от них будет максимум пользы.

Источник

Оцените статью
Adblock
detector