Анализаторы сетевых
протоколов.
Использование сетевых анализатров
• изучения работы сети и локализации трудноразрешимых проблем;
• обнаружения и идентификации несанкционированного ПО;
• получения базовых моделей трафика и метрики утилизации сети (здесь
термин «метрика утилизации» показывает степень загрузки сети в
определенном географическом месте и в определенное время);
• идентификации неиспользуемых протоколов для удаления их из сети;
• генерации трафика для испытания на вторжение с целью проверки
системы защиты;
• работы с системами обнаружения вторжений;
• прослушивания трафика, т.е. локализации несанкционированного
трафика с использованием, например, беспроводных точек доступа.
Анализаторы протоколов имеют
некоторые общие свойства:
1. Возможность измерения среднестатистических показателей
трафика в сегменте ЛВС, в котором установлен анализатор:
измеряется коэффициент использования сегмента, матрицы
перекрестного трафика узлов, количество хороших и плохих
кадров, прошедших через сегмент.
2. Большинство анализаторов имеют развитый дружественный
интерфейс, который позволяет пользователю: выводить результаты
анализа интенсивности трафика; получать мгновенную и
усредненную статистические оценки производительности сети;
задавать и отслеживать различные ситуации; производить
декодирование протоколов разного уровня и представлять в
понятной форме содержимое пакетов.
3. Буферы захвата пакетов различных анализаторов отличаются по
объему, что влияет на эффективность анализа. Дело в том, что размер
буфера определяет возможности анализа по так называемым
представительным выборкам захватываемых данных. Но каким бы
большим ни был буфер захвата, рано или поздно он заполнится. В этом
случае либо прекращается захват, либо заполнение начинается с начала
буфера.
4. Возможность работы с несколькими агентами, поставляющими
захваченные пакеты из разных сегментов ЛВС. Эти агенты чаще всего
взаимодействуют с анализатором протоколов по собственному
протоколу прикладного уровня, отличному от SNMP или CMIP.
5. Наличие развитого графического интерфейса, позволяющего
представить результаты декодирования пакетов с разной степенью
детализации.
6. Фильтрация захватываемых и отображаемых пакетов. Условия
фильтрации задаются в зависимости от значения адресов назначения и
источника, типа протокола или значения определенных полей пакета.
Фильтры позволяют управлять процессом захвата данных и тем самым
позволяют экономить пространство буфера. В зависимости от значения
определенных полей пакета заданный в виде условия фильтрации пакет
либо игнорируется, либо записывается в буфер захвата. Использование
фильтров значительно ускоряет и упрощает анализ, так как исключает
захват или просмотр ненужных в данный момент пакетов.
7. Использование переключателей (триггеров). Триггеры — это
задаваемые администратором некоторые условия начала и
прекращения процесса захвата данных из сети. Такими условиями могут
быть: время суток; продолжительность процесса захвата; появление
определенных значений в кадрах данных. Триггеры могут
использоваться совместно с фильтрами, позволяя более детально и
тонко проводить анализ, а также продуктивнее расходовать
ограниченный объем буфера захвата.
8. Многоканальность. Некоторые анализаторы протоколов
позволяют проводить одновременную запись пакетов от
нескольких сетевых адаптеров, что удобно для сопоставления
процессов, происходящих в разных сегментах сети.
9. Некоторые анализаторы протоколов позволяют
автоматизировать просмотр информации в буфере, выбирая
данные по заданным критериям. Анализ протоколов занимает 1—
2 рабочих дня и включает этапы:
• захвата, просмотра и анализа захваченных данных;
• поиска ошибок и идентификации станции — источника пакета с ошибкой;
• расчета коэффициента использования пропускной способности сети;
• подробного исследования отдельных участков сети.
анализаторы протоколов делятся на два
вида:
• Программные анализаторы протоколов
Работа анализатора в полудуплексном
режиме
Подключение анализатора в сети с
коммутаторами для работы в полудуплексном
режиме
Аппаратные анализаторы ЛВС
Организация дуплексной работы
аппаратного анализатора (АА)