ЭКСПЛУАТАЦИЯ

ОБЪЕКТОВ СЕТЕВОЙ
ИНФРАСТРУКТУРЫ
Программные анализаторы
протоколов
•Анализаторы протоколов — это средства
мониторинга сетевого трафика, которые
позволяют захватывать трафик локальных сетей и
представлять его в удобном для анализа виде.
•Они способны на основе заданных оператором
логических условий захватывать отдельные
пакеты и декодировать их, то есть показывать в
удобной для специалиста форме вложенность
пакетов протоколов разных уровней друг в друга
с расшифровкой содержания полей каждого
пакета.
•Анализаторы протоколов могут:
•выводить результаты анализа интенсивности
трафика;
•получать мгновенную и усреднённую
статистическую оценку производительности сети;
•задавать определённые события и критические
ситуации для отслеживания их возникновения.
Анализатор протоколов представляет собой либо
самостоятельное специализированное
устройство, либо персональный компьютер,
оснащённый специальной сетевой картой и
соответствующим программным обеспечением.
. Анализ сетевых протоколов — это поиск истины в
сетевых коммуникациях. Чтобы узнать, почему
какое-либо сетевое устройство работает именно
так, а не иначе, следует использовать анализатор
протоколов, чтобы «вживую» прочувствовать
трафик и выделить из него данные и протоколы,
передающиеся по сетевому кабелю
Анализатор протоколов
выполняет мониторинг
сетевого трафика
Обычно окно протокольного анализатора состоит их трех
областей,. Верхняя область отображает итоговые данные
перехваченных пакетов. Обычно в этой области
отображается минимум полей, а именно: дата; время (в
миллисекундах), когда пакеты были перехвачены; исходные
и целевые IP-адреса; исходные и целевые адреса портов;
тип протокола (сетевой, транспортный или прикладного
уровня); некоторая суммарная информация о
перехваченных данных. В средней области показаны
логические врезки пакетов, выбранных оператором. И
наконец, в нижней области пакет представлен в
шестнадцатеричном виде или в символьной форме — ASCII.
Анализ декодированных пакетов — основная задача любого
анализатора сетевых протоколов. Анализатор организует
перехваченные пакеты по уровням и протоколам. Лучшие
анализаторы пакетов могут распознать протокол по его
наиболее характерному уровню — верхнему — и отобразить
перехваченную информацию. Этот тип информации обычно
отображается во второй области окна анализатора. Например,
любой анализатор протоколов может распознавать трафик TCP.
Хороший анализатор заметит, что данный трафик порожден
Microsoft Exchange Server, работающим поверх протокола
удаленного вызова процедур, Remote Procedure Call — RPC, и
покажет текст почтового сообщения.
• Большинство анализаторов протоколов распознают
свыше 300 различных протоколов и умеют описывать и
декодировать их по именам. Чем больше анализатор в
состоянии декодировать информации и представить ее
на экране, тем меньше придется декодировать
вручную.
• Заявления производителя о том, что его анализатор
протоколов поддерживает более 4000 декодеров
протоколов, должно вызвать подозрение; 300-400
декодеров — вот наиболее реалистичный диапазон.
Большинство продуктов поддерживает примерно
одинаковое число декодеров, несмотря на
рекламные заявления отдельных поставщиков.
Например, один продукт может расчленить
простой процесс Ping на несколько протоколов (т.
е. Internet Control Message Protocol — ICMP, Echo
Request, ICMP Echo Reply), тогда как другой будет
декодировать тот же процесс Ping как один
протокол, хотя оба продукта оценивают и
декодируют одну и ту же информацию.
Общая проблема анализаторов — невозможность аккуратной
идентификации (а следовательно, и декодирования) протокола,
использующего порт, отличный от порта по умолчанию. Сегодня все
хорошо осознают важность проблем безопасности, и запуск известных
приложений на редко используемых портах является общепринятой
практикой защиты от хакеров. Некоторые декодеры умеют распознавать
трафик независимо от того, через какой порт он проходит, тогда как
другие — нет, и поэтому просто будут определять протокол по его
нижнему уровню (т. е. TCP или UDP), а это означает, что декодер не
представит более полезной информации о полях. Некоторые
анализаторы позволяют модифицировать декодер, чтобы научиться
распознавать больше, чем просто порт по умолчанию для определенных
протоколов.
 Пример
окна
Анализатора
протоколов
Экспертный анализ действительно может сообщить об
аномалиях трафика или несанкционированных пакетах
или же полностью декодировать серии потоков данных
между двумя хостами. Декодирующая составляющая
поистине бесценна, так как позволяет увидеть весь
коммуникационный поток данных, и для этого
достаточно просто щелкнуть мышью на
заинтересовавшем вас пакете. Например, можно
щелкнуть HTTP-пакет и увидеть Web-страницу, которая
ему соответствует, все равно как если бы пользователь
наблюдал код HTML в режиме визуализации.
Другая общая функциональность включает
фильтры до и после захвата трафика (возможность
выделить определенные пакеты по заданному
критерию), триггеры (инициирование вторичных
действий при обнаружении заранее описанных
пакетов), повторное воспроизведение
(возможность повторно отработать
перехваченные пакеты в сети), сбор статистики и
составление отчетов о трафике, а также
управление множеством сенсоров с одной
консоли.
На рынке программного обеспечения и
программных продуктов среди анализаторов
сетевых протоколов. Оценивая анализатор
протоколов, необходимо особое внимание
обратить на такие его свойства, как точность
перехвата пакетов, диапазон декодируемых
протоколов (с учетом условий работы конкретной
сети), степень детализации декодеров, наличие
экспертного анализа, модель размещения
(распределенная или нет), цена и техническая
поддержка.
Анализаторы сетевых протоколов общего
назначения:
-Ethereal, OptiView Protocol Expert 4.0
(производитель — Fluke Networks)
-Netasyst Network Analyzer WLX (производитель —
Network Associates)
-Observer 9.0 (производитель — Network
Instruments
- LanHound 1.1 (производитель — Sunbelt Software)
- EtherPeek NX 2.1 (производитель — WildPackets)
 Ethereal
Одна из лучших программ с открытым кодом на сегодняшний день. В
отличие от большинства программ с открытым кодом, графический
интерфейс Ethereal освоить и использовать легко, продукт поставляется
с 400-страничной документацией в формате PDF.
Перед установкой и использованием Ethereal нужно загрузить и
установить Windows-версию Libpcap — WinPcap, бесплатно
распространяемую инфраструктуру перехвата пакетов (Packet-Capture
Architecture) для систем Windows (http://winpcap.polito.it).
Поскольку Ethereal — программное обеспечение с открытым кодом,
Web-сайт Ethereal служит основным источником информации об этом
продукте.
Ethereal поддерживает 512 декодеров протоколов (в соответствии с данными
http://www.ethereal.com/faq.html#q1.2)
В Ethereal можно найти все функции, которые должны
присутствовать в анализаторе протоколов. Можете
перехватить или отобразить весь сетевой трафик или только ту
его часть, которая удовлетворяет заданному критерию. По
умолчанию для отображения трафика необходимо остановить
перехват пакетов, хотя можно настроить Ethereal на
отображение трафика одновременно с перехватом пакетов (что
приведет к снижению производительности). Существует
возможность распечатать трассу пакета с различной степенью
детализации и в разных форматах или сохранить в файлы,
которые будут анализироваться позже. Можно выполнить
конвертацию собранной информации, такой как адреса IP и
MAC-адреса, в общие имена, и отображать имена, а не набор
цифр.
 OptiView Protocol Expert
OptiView — это семейство продуктов, которое
прослушивает трафик в сетях Ethernet, Token Ring и
оптоволоконных сетях.
Программа OptiView Protocol Expert работает в среде
Windows 2000 Professional и Windows 98, но не
поддерживает Windows 2003 Server и Windows 2000 Server.
Protocol Expert — это вместительная консоль, однако
интерфейс пользователя нуждается в существенном
улучшении. Графический интерфейс Protocol Expert
довольно-таки сложный.
Хотя в подсказке описана пошаговая процедура освоения
продукта, пользователи-новички не должны начинать работу с
изучения справочника и поиска операций, которые и так
должны быть прозрачны. Кроме того, отображаемая
информация трудна для восприятия с экрана и
настройки.работы.
Protocol Expert поддерживает более 250 протоколов, в том числе
Cisco, IBM Lotus Notes, SIP, Virtual LAN (VLAN) и Voice over IP
(VoIP). Предлагается более 150 заранее описанных
настраиваемых предупреждений (аварийных сигналов), с
помощью которых рассылаются аварийные оповещения (по
локальной сети, электронной почте или на пейджер).
Захваченные данные могут быть сохранены в формате файлов
BMP, CSV или Microsoft Excel. Кроме того, можно
модифицировать захваченный трафик и повторно запустить его
в сети. Эта особенность может очень пригодиться при
тестировании брандмауэров, IDS и средств сетевой защиты.
 Netasyst Network Analyzer
Netasyst Network Analyzer ориентирован на средний и
малый бизнес с числом узлов меньше 1000.
Данный продукт представлен в двух версиях —
стандартной и экспертной (Х) и в трех вариантах внутри
каждой версии: 10Мбит/с/100Мбит/с LAN (L), 802.11
Wireless (W) или Wireless and LAN (WL).
Для работы Netasyst Network Analyzer требуется Windows
XP или Windows 2000, Microsoft Internet Explorer (IE) 6.0
или старше, а также Java 2 Runtime Environment (JRE2) от
Sun Microsystems, которая нужна для вывода графики.
Netasyst Network Analyzer декодирует свыше 280
различных протоколов. Данный продукт обеспечивает
точную и детальную расшифровку.
В сводке о пакетах HTTP сообщается, чем они
занимаются (какая была выдана команда HTML, что
именно загружается — страница или графика и т. п.).
Программа отмечает ненормальные ситуации, такие как
продолжительные уведомления (acknowledges — ACK),
повторные передачи пакетов (ретрансмиссии),
несвоевременные пакеты.
Интересная особенность Netasyst Network Analyzer
связана с возможностью загрузки фильтров программ-
шпионов (malware), загружаемых в анализатор Netasyst
Network Analyzer в целях своевременного обнаружения
вредоносных кодов. На Web-сайте McAfee вывешен
список из 20 фильтров, куда вошли фильтры последних
вирусов, в том числе MyDoom и Netsky. Хотя Netasyst
Network Analyzer не претендует на роль универсального
антивирусного сканера или системы обнаружения
вторжений, функция загрузки защитных фильтров тем не
менее может очень пригодиться.
 Observer
Observer, продукт компании Network Instruments, тоже
является примером надежного и конкурентоспособного
решения для средних и крупных сетей.
Observer проектировался как продукт для распределенных
сетей, обработки огромных объемов информации и
взаимодействия с большим числом типов сетевых
интерфейсов.
С помощью консоли отчетов происходит захват пакетов
локальной или удаленной сети и взаимодействие с консолью
Observer. Разработчики Network Instruments утверждают, что
поддерживается до 350 проб-отчетов в одной бизнес-среде.
 LanHound
LanHound состоит из двух продуктов: административной
консоли и удаленного агента перехвата пакетов (консоль
также служит агентом). LanHound работает под
управлением Windows начиная с платформы Windows 98
и старше, за исключением Windows 2003.
LanHound имеет простой графический интерфейс и
набор функций, стандартный для протокольного
анализатора, включая фильтрацию перехваченного
трафика, поиск по имени, предупреждения, триггеры и
создание отчетов.
Отчеты содержат гистограммы, таблицы хостов,
итоговые отчеты по пакетам, матрицы трафика. Как и в
случае с другими анализаторами, данные, собранные
LanHound, можно обрабатывать по-разному, в частности
предусмотрено построение всевозможных гистограмм и
диаграмм.
LanHound позволяет манипулировать накопленным
трафиком и даже повторно запускать его по сети —
функция, не всегда доступная в недорогих продуктах
такого класса.
 EtherPeek
Данный анализатор предлагает свою разновидность типичного
трехзонного окна протокольного анализатора —
инструментальную панель и журнальное окно в двух нижних
зонах.
Интерфейс пользователя в целом приятнее, чем аналогичный
компонент в продуктах конкурентов, цветовая дифференциация
подобрана лучше. Цветовое решение EtherPeek очень удачное и
позволяет легче анализировать протоколы.
EtherPeek имеет самый лучший пользовательский интерфейс с
точки зрения формы и естественной последовательности
выполняемых действий
EtherPeek предназначен для использования в небольших
сетях, функциональных возможностей в нем достаточно.
Данный продукт позволяет по умолчанию отображать
перехваченные пакеты в реальном времени.
EtherPeek может открыть несколько окон захвата
одновременно и в каждом отображать или различные
перехваченные интерфейсы, или информацию пакетов с
разных точек зрения. Например, в одном окне можно
захватывать IP-трафик, в другом — IPX, а в третьем
отображать RMON (при подключении расширения
RMONGrabber).
EtherPeek умеет точно распознавать IM, Kerberos и
трафик VoIP, причем превосходит в этом своих
конкурентов.
Фактически на сетевом и прикладном уровне EtherPeek
по своим возможностям составления отчетов идет сразу
за Netasyst Network Analyzer. EtherPeek отмечает ошибки
DNS, медленную работу серверов, ошибки POP Logon и
наличие недостижимых хостов. Удачное размещение
значков позволяет без труда обнаружить эти проблемы.
 • Ethereal
• www.ethereal.com

ЦЕНА: бесплатно

АРГУМЕНТЫ ДЛЯ ПРИНЯТИЯ РЕШЕНИЯ

ЗА: прекрасное решение, в том числе для начинающих, при отсутствии высоких требований
к эксплуатации; продукт предоставляется бесплатно; простой и удобный графический
интерфейс; поддержка сотен декодеров протоколов; выполнение потокового анализа TCP.

ПРОТИВ: менее детальное декодирование протоколов по сравнению с коммерческими

продуктами; продукт не промышленного уровня; техническая поддержка не гарантируется.
 • OptiView Protocol
• Expert Fluke Networks — www.flukenetworks.com

ЦЕНА: от 3195 до 3500 долл.

АРГУМЕНТЫ ДЛЯ ПРИНЯТИЯ РЕШЕНИЯ

ЗА: надежный декодер протоколов; поддержка распределенных сетей;

наличие экспертного модуля (Expert-Analysis View); повторное
воспроизведение трафика.

ПРОТИВ: интерфейс нуждается в доработке; для прикладного уровня

необходима более глубокая экспертная проработка; не работает на
платформах Windows 2003 и Windows 2000 Server.
 • Netasyst Network Analyzer
• Network Associates, www.sniffer.com

ЦЕНА: от 1995 до 7495 долл. (WLX version); включает техническую поддержку по схеме «1
год, 24 x 7».

АРГУМЕНТЫ ДЛЯ ПРИНЯТИЯ РЕШЕНИЯ

ЗА: много функций;лучший модуль экспертного анализа среди всех рассматриваемых

продуктов; поддержка VoIP; подкачка фильтров для обнаружения программ-шпионов;
прекрасная техническая поддержка.

ПРОТИВ: отсутствие некоторых Windows-декодеров, таких как Kerberos и RDP; раздельные

версии для локальной и беспроводной сети; для некоторых сетевых адаптеров
поддерживается только смешанный режим.
 • Observer
• Network Instruments — www.networkinstruments.com

ЦЕНА: 995 долл., включая 90 дней стандартной поддержки; дополнительные пакеты

обслуживания и поддержки по схеме 24x7.

АРГУМЕНТЫ ДЛЯ ПРИНЯТИЯ РЕШЕНИЯ

ЗА: простота использования; превосходная расшифровка пакетов; ориентирован на

распределенную среду работы; поддержка локальных, распределенных и беспроводных
сетей; повторное воспроизведение трафика.

ПРОТИВ: основное окно программы перегружено; небольшие проблемы с перерисовкой

экрана; расшифровка протокола не всегда достаточно точна.
 •LanHound
• Sunbelt Software — www.sunbelt-software.com

ЦЕНА: от 595 долл. за одну административную консоль и три удаленных агента.

АРГУМЕНТЫ ДЛЯ ПРИНЯТИЯ РЕШЕНИЯ

ЗА: простой в использовании графический интерфейс; хорошие итоговые отчеты; точная

расшифровка SMB; повторное воспроизведение трафика.

ПРОТИВ: слабая дешифрация многих протоколов; не работает под управлением Windows

2003; отсутствует модуль экспертного анализа.
 •EtherPeek
• WildPackets, www.wildpackets.com

ЦЕНА: от 3495 долл.; включает один год стандартной поддержки.

АРГУМЕНТЫ ДЛЯ ПРИНЯТИЯ РЕШЕНИЯ

ЗА: самый лучший графический интерфейс; хорошие экспертно-аналитические

возможности; легкость работы с окнами и отчетами (за один щелчок мыши).

ПРОТИВ: наличие ложных срабатываний при анализе; различные продукты поддерживают

различные платформы.