Академический Документы
Профессиональный Документы
Культура Документы
ОБЪЕКТОВ СЕТЕВОЙ
ИНФРАСТРУКТУРЫ
Аппаратные анализаторы протоколов
•В ходе проектирования новой или модернизации старой сети
часто возникает необходимость в количественном измерении не
которых характеристик сети, таких как, например,
интенсивность потоков данных по сетевым линиям связи;
задержки, возникающие на различных этапах обработки
пакетов; время реакции на запросы того или иного вида; частота
возникновения определенных событий и др.
• Дляэтих целей могут быть использованы разные средства, на
пример средства мониторинга в системах управления сетью.
• Некоторыеизмерения в сети могут быть выполнены
встроенными в ОС программными измерителями.
• Например, компонента ОС WindowsNT Perfomance Monitor
содержит ряд счетчиков, которые фиксируют число сетевых па
кетов, передаваемых в единицу времени, число процессов,
ожидающих завершения операции с диском, процент
использования процессора и ряд других процессов. Кроме того,
современные кабельные тестеры способны вести захват и
анализ содержимого пакетов.
• Однаконаиболее совершенным средством исследования сети
является анализатор протоколов, реализующий захват и
изучение циркулирующих в сети пакетов.
• Основываясьна результатах анализа, анализатор протоколов
осуществляет обоснованное и взвешенное изменение каких-
либо компонентов сети, оптимизацию ее производительности,
поиск и устранение неполадок, причем выводы о влиянии
некоторого изменения анализатор делает после анализа
протоколов (и до, и после внесения изменения).
• Чащедругих анализатор протоколов используется сетевым ад
министратором, планирующим преобразование или дальнейшее
развитие существующей сети. С помощью анализатора протоко
лов можно не только оперативно устранять проблемы по мере
их возникновения, но и предупреждать их появление. Таким
образом, анализаторы протоколов — это именно те средства, с
которых следует начинать диагностику сети.
• Анализаторможет захватывать и декодировать до нескольких
десятков протоколов, применяемых в сетях, ставить логические
условия для захвата отдельных пакетов и выполнять полное
декодирование захваченных пакетов, т.е. показывать в удобной
для специалиста форме вложенность пакетов протоколов разных
уровней друг в друга (инкапсуляцию) с расшифровкой содержа
ния отдельных полей каждого пакета.
•Кроме того, анализатор сетевых протоколов может
использоваться для решения следующих задач:
■ изучение работы сети и локализация трудноразрешимых про
блем;
■ обнаружение и идентификация несанкционированного ПО;
■ получение базовых моделей трафика и метрики утилизации сети
(здесь термин «метрика утилизации» показывает степень
загрузки сети в определенном географическом месте и в опре
деленное время);
■ идентификация неиспользуемых протоколов для удаления их из
сети;
■ генерация трафика для испытания на вторжение в целях проверки
системы защиты;
■ работа с системами обнаружения вторжений;
■ прослушивание трафика, т.е. локализация несанкционированного
трафика с использованием, например, беспроводных точек
доступа.
• Анализатор протоколов представляет собой либо специализи
рованное устройство, либо персональный компьютер (Noutbоок),
оснащенный специальной сетевой картой и соответствующим
программным обеспечением, которые должны точно соответ
ствовать технологии проверяемой сети. Анализатор подключается
к сети, как обычный хост, но хост принимает только адресованные
ему пакеты, а анализатор может принимать все пакеты данных,
передаваемые по сети. Для этого сетевой адаптер анализатора
протоколов переводится в режим беспорядочного захвата.
• ПО анализатора состоит из ядра, поддерживающего работу се
тевого адаптера, и программного обеспечения, декодирующего
протокол канального уровня, с которым работает сетевой адаптер,
а также наиболее распространенные протоколы верхних уровней
(IР, ТСР, ftp, telnet, НТТР, IРХ, NETBEUI и др.).
• Анализаторы протоколов имеют некоторые общие свойства.
1. Возможность измерения среднестатистических показателей
трафика в сегменте ЛВС, в котором установлен анализатор: изме
ряется коэффициент использования сегмента, матрицы пере
крестного трафика узлов, количество хороших и плохих кадров,
прошедших через сегмент.
2. Большинство анализаторов имеют развитый дружественный
интерфейс, который позволяет пользователю: выводить результаты
анализа интенсивности трафика; получать мгновенную и усред
ненную статистическую оценку производительности сети; задавать
и отслеживать различные ситуации; производить декодирование
протоколов разного уровня и представлять в понятной форме
содержимое пакетов.
3. Буферы захвата пакетов различных анализаторов отличаются по объему,
что влияет на эффективность анализа. Дело в том, что размер буфера
определяет возможности анализа по так называемым представительным
выборкам захватываемых данных. Но каким бы большим ни был буфер
захвата, рано или поздно он заполнится. В этом случае либо прекращается
захват, либо заполнение начинается с начала буфера.
4. Возможность работы с несколькими Агентами, поставляющими
захваченные пакеты из разных сегментов ЛВС. Эти Агенты чаще всего
взаимодействуют с анализатором протоколов по собственному протоколу
прикладного уровня, отличному от SNMP или СМIР.
5. Наличие развитого графического интерфейса, позволяющего
представить результаты декодирования пакетов с разной степенью
детализации.
6. Фильтрация захватываемых и отображаемых пакетов. Условия фильтрации
задаются в зависимости от значения адресов назначения и источника, типа
протокола или значения определенных полей пакета. Фильтры позволяют
управлять процессом захвата данных и тем самым позволяют экономить
пространство буфера. В зависимости от значения определенных полей пакета,
заданных в виде условия фильтрации, пакет либо игнорируется, либо
записывается в буфер захвата. Использование фильтров значительно ускоряет
и упрощает анализ, так как исключает захват или просмотр ненужных в
данный момент пакетов.
7. Использование переключателей (триггеров). Триггеры — это задаваемые
администратором некоторые условия начала и прекращения процесса захвата
данных из сети. Такими условиями могут быть: время суток,
продолжительность процесса захвата, появление определенных значений в
кадрах данных. Триггеры могут использоваться совместно с фильтрами,
позволяя более детально и тонко проводить анализ, а также продуктивнее
расходовать ограниченный объем буфера захвата.
8. Многоканальность. Некоторые анализаторы протоколов позволяют проводить
одновременную запись пакетов от нескольких сетевых адаптеров, что удобно для
сопоставления процессов, происходящих в разных сегментах сети.
9. Некоторые анализаторы протоколов позволяют автоматизировать просмотр
информации в буфере, выбирая данные по заданным критериям.
•Анализ протоколов занимает один-два рабочих дня и включает в себя следующие
этапы:
■ захват, просмотр и анализ захваченных данных;
■ поиск ошибок и идентификация станции — источника пакета с ошибкой;
■ расчет коэффициента использования пропускной способности сети;
■ подробное исследование отдельных участков сети.
•Анализаторы протоколов разделяются на два вида: полностью программные
анализаторы протоколов и специализированное оборудование с возможностями
декодирования и анализа протоколов.
• Программные анализаторы протоколов представляют собой программные модули,
выполняющие все перечисленные ранее функции анализа под управлением обычной
ОС на обычном компьютере. Анализатор включается в сеть тоже как обычный ком
пьютер. Программные анализаторы используют стандартные сетевые карты и
стандартное аппаратное обеспечение, рабочую станцию или ноутбук, однако в
некоторых случаях требуются сетевые карты определенных производителей.
Включение
хоста-анализатора
в сеть
• Как правило, обработку всех пакетов, в том числе ошибочных, они не гарантируют —
это их основной недостаток. Также они не позволяют анализировать трафик в
высокоскоростных каналах передачи данных.
•Анализатор всегда запускается в беспорядочном режиме, при котором драйвер
сетевого адаптера перехватывает весь проходящий через него трафик, т. е. все фреймы
независимо от их конечного адреса. Если беспорядочный режим отключен, то сетевой
адаптер будет пропускать в компьютер фреймы только с «родным» МАС-адресом, что
делает сам анализ малоинформативным. Анализатор протоколов передает
перехваченный трафик декодеру пакетов анализатора, который идентифицирует и
расщепляет пакеты по соответствующим уровням иерархии. Программное обеспе
чение анализатора протоколов изучает пакеты и отображает информацию о них на
экране хоста в окне анализатора. В зависимости от возможностей конкретного
продукта представленная информация может впоследствии дополнительно
анализироваться и отфильтровываться.
• Поскольку программный анализатор — это программа, выполняемая на
компьютере, все функции анализа выполняет компьютер.
Вычислительная мощь компьютера, количество памяти, возможности
сетевого адаптера и степень загруженности сети — все это сказывается на
характеристиках программного анализатора. Поэтому, если ЛВС
полностью загружена, есть вероятность того, что программный
анализатор не будет «видеть» все пакеты в сети, потому что скорости
процессора не хватит для анализа каждого из них.
Одним из ограничений, присущих программным анализаторам, является
невозможность работы в дуплексном режиме, когда прием и передача
выполняются одновременно. Однако в случае подключения через
концентратор возможна организация полудуплексного анализатора.
Действительно, все фреймы на входе концентратора передаются на все
задействованные порты. Это значит, что анализатор протоколов может
быть подключен к любому свободному порту и будет «видеть» все данные
на входе концентратора.
Сеть с хабом и подключение к ней анализатора Сеть с коммутатором и подключение к ней анализатора