協議分析器

協議分析器

網路協議分析是指通過程序分析網路數據包的協議頭和尾,從而了解信息和相關的數據包在產生和傳輸過程中的行為。包含該程序的軟體和設備就是協議分析器。

目錄
1協議分析器(程序) 2協議分析器的作用 3協議分析器的分類 手提式協議分析器
分散式協議分析器 其他協議分析器 4協議分析器處理的任務
5網路協議分析器 分析協議的格式 Ethereal 的抓包特徵

協議分析器(程序)

在典型的網路結構中,網路協議和通信採用的是分層式設計方案。在當前最流行的OSI網路結構參考模型中,同層協議之間能相互進行通信。協議分析器的主要功能之一就是分析各層協議頭和尾,如果它通過多層協議頭尾和其相關信息來識別網路通信過程中可能出現的問題時,該協議分析方法稱之為專家分析。眾多協議分析器商家都推出相應產品,諸如 Network General 公司的嗅探器(Sniffer),它專門用於網路故障診斷和修復。另外還有一些協議分析器能將多層協議和數據包從低級數據包編譯升級為高級數據包,以便於實時觀察以及了解網路的使用和流量分析。當網路流量觀察為用戶的主要目標時,會採納此種協議分析器。佳文公司推出的數據包分析器正是這樣一種工具。

協議分析器的作用

協議分析器既能用於合法網路管理也能用於竊取網路信息。網路運作和維護都可以採用協議分析器:如監視網路流量、分析數據包、監視網路資源利用、執行網路安全操作規則,鑒定分析網路數據以及診斷並修復網路問題,等等。

協議分析器的分類

當前市面上存在多種協議分析器,基本上分兩類:手提式和分散式。

手提式協議分析器

是一種單機設備或者說 PC 機軟體。它能夠捕獲數據、實時控制和重操作數據分析。手提式協議分析器的零售價一般在數百到數萬美元左右,這主要取決於各個供應商以及網路監視和數據分析的實現效果(乙太網、千兆位乙太網、光纖廣域網鏈路等等)。手提式協議分析器一般應用於小型公司或者大型公司的現場工程師等。佳文公司推出的數據包分析器是一種手提式協議分析器。

分散式協議分析器

主要由兩部分組成:一個是各網路點上的監視探測器,另一個是網路操作中心(NOC)的控制台。大型企業一般採用該裝置實現中心監控網路運行。分散式協議分析器的零售價一般在數千美元到數百萬美元左右。除了上述實現功能外,分散式探測器還能用來收集和分析 SNMPRMON 數據,以全面了解網路情況。
手提式協議分析器的主要供應商有:Network General 公司、Agilent Technologies 公司、Wildpackets 公司和 Javvin Technologies 公司等;分散式協議分析器的主要供應商有:Network General 公司、Netscout 公司等。

其他協議分析器

此外,網路協議分析器(Network Protocol Analyzer)還被稱為網路嗅探器(Sniffer)、數據包分析器(Packet Analyzer)、網路嗅聽器(Network Sniffing Tool)、網路分析器(Network Analyzer)等。

協議分析器處理的任務

協議分析器是一種用於監督和跟蹤網路活動的診斷工具。它們可以是計算機上運行的軟體,也可以是包含特殊線路板和軟體的特殊單元設備。協議分析器通常是可以被網路技術人員攜帶到不同地點的攜帶型設備。下面列出它們可以處理的一些任務:
1.顯示網路上傳輸信息分組的類型信息。你可以監督這些分組以監督安全性,確定失效情況,或監督和優化一個網路。
2.在一個網際網路路上查詢所有結點,或在任何一個特定結點與所有其它結點之間進行點對點通信檢測。
確定整個網際網路路的配置。
3.從一個或所有結點分析關鍵數據,或根據預先定義的一組閾值報告不正常的活動。
4.顯示性能數據,例如通信量和被服務的分組。
5.提供關於網路有效性、網路性能、可能的硬體錯誤、噪音問題和應用軟體問題的一些有用信息。

網路協議分析器

網路協議分析器網路協議分析器Ethereal 是目前最好的、開放源碼的、獲得廣泛應用的網路協議分析器,支持Linux 和windows 平台。在該系統中加入新的協議解析器十分簡單,自從1998年發布最早的Ethereal 0.2版本發布以來,志願者為Ethereal 添加了大量新的協議解析器,如今Ethereal 已經支持五百多種協議解析。其原因是Ehereal 具有一個良好的可擴展性的設計結構,這樣才能適應網路發展的需要不斷加入新的協議解析器。

分析協議的格式

Ethereal 抓包后的界面有三個部分,上部為報文列表窗口,顯示的是對抓到的每個數據報文進行分析后的總結型信息,包括編號、時間、源地址、目標地址、協議、信息。中部為協議樹窗口,顯示的是數據報文的協議信息。在報文列表窗口選擇不同條目則協議樹窗口的內容隨之改變為相應的協議信息。下部為16 進位報文窗口,可以顯示報文在物理層的數據形式。
抓包完成後,顯示過濾器可以用來找到你感興趣的包,也可根據協議、是否存在某個域、域值、域值之間的關係來查找你感興趣的包。

Ethereal 的抓包特徵

* 可以從不同類別的網路硬體抓包,如Ethernet、 Token Ring、ATM 等;
* 停止抓包時不同的觸發器相似:如抓獲數據的總數、抓包時間,抓獲包的數目;
* 抓包過程中同時顯示編譯后(解析)的包。
* 根據包過濾器的條件,從抓獲的全部數據中進行過濾,減去符合條件的包。
使用Ethereal 進行網路協議分析時應當注意:必須有管理員許可權才能開始抓包過程;必須選擇正確的網路介面來抓獲包數據;必須在網路的正確的位置抓包才能看到想看到的業務流量。

基本信息

類型
程序