協議分析儀
協議分析儀
協議分析儀是能夠捕獲網路報文的設備。在功能和設計方面有很多不同。有些只能分析一種協議,而另一些能夠分析幾百種協議。
分析網路中傳輸數據包的最佳方式很大程度上取決於你手頭擁有什麼設備。在網路技術發展的早期階段(使用HUB或集線器的共享網路時代),答案很簡單,只須將線路插在一台集線器上,一切就搞定了——那就是使用協議分析儀。
協議分析儀就是能夠捕獲網路報文的設備。協議分析儀的正當用處在於撲捉分析網路的流量,以便找出所關心的網路中潛在的問題。例如,假設網路的某一段運行得不是很好,報文的發送比較慢,而我們又不知道問題出在什麼地方,此時就可以用協議分析儀來作出精確的問題判斷。
協議分析儀在功能和設計方面有很多不同。有些只能分析一種協議,而另一些能夠分析幾百種協議。一般情況下,大多數的嗅探器至少能夠分析下面的協議:
乙太網
TCP/IP
IPX
DECNet
其它……
協議分析儀通常是軟硬體的結合,通常使用專用硬體或設置為專用方式的網卡實施對網路中的數據撲捉。捕獲在網路中傳輸的數據信息方法稱為sniffing(嗅探)。
乙太網協議是在同一迴路向所有主機發送數據包信息。數據包頭包含有目標主機的正確地址。一般情況下只有具有該地址的主機會接受這個數據包。如果一台主機能夠接收所有數據包,而不理會數據包頭內容,這種方式通常稱為“混雜”模式(P 模式)。這是協議分析儀撲捉數據的基礎,它的產生是由共享網路的方式而來的。
對於今天的乙太網交換機,答案開始變成“視情況而定”。根據設計,大多數交換機不允許用戶查看從伺服器到工作站的流量狀況(用戶正在使用的那台工作站除外)。事實上,這種情況通過埠映射技術可能解決。具體來講,就是將傳送到交換機上某個埠的傳輸流複製到另一個埠。但需要注意的是,目前的交換機又分為可管理的交換機和不可管理的交換機,不可管理的交換機價格比可管理的交換機要便宜,但通常缺少進行埠映射的能力。有些交換機雖然自稱是可管理的,但實際上可能不過是支持SNMP,也許仍不具有埠映射功能。在用戶為網路購買新交換機時,這是一個需要搞清楚的重要問題。
如果用戶的交換機不支持埠映射,也有方法來解決。這些方法對於在交換環境下的協議分析工作來說更加常用:
廉價和方便的方法:可以在被測試的工作站與網路之間安裝一台集線器。將協議分析儀連接到這台集線器上,觀察兩個方向的傳輸流。昂貴和專業的方法:使用專業的乙太網測試介面盒(TAP)聯機安裝在被測網路上,無需在使用的分析儀內執行額外的過濾就可查看一個方向的會話情況。這意味著用戶不能同時看到全部的會話,因此也許需要進行一些額外的數據包捕獲,來掌握全部情況。
協議分析儀原本是網路工程師的常用工具,不過被人利用來做其他的目的也是非常常見的。現今的黑客們都熟練地使用著功能強大的協議分析儀,這本來就是一個工具的兩面性。
對於能使用協議分析儀的人員來說,本身他的權利就是很大的,如果他用這東西來幹些什麼,很難阻止的。這個工具用在安全形度,即有用又有害。就象刀子一樣,看它拿在誰的手中了。……
以上內容整理自《安恆網路維護論壇》
協議分析儀 protocol analyser 的工作從原理上要分為兩個部分:數據採集數據撲捉、協議分析。對這兩部分的工作從實現的形式上來說有以下常見的幾種形式:
純軟體的協議分析系統,如:Fluke的OptiView-PE。大多數的純軟體協議分析儀是可以使用普通的網卡來完成進行簡單的數據採集工作的,這就是使用率最多的協議分析軟體+PC網卡。這種方式的協議分析儀通常有兩種原因存在的。①簡單廉價的軟體,或自由軟體,小巧實用,功能較弱②運行在PC或報價本電腦上的協議分析儀的軟體部分,本來協議分析工作就是基於軟體分析的工作。所以再高端的協議分析儀其軟體部分也是要由計算機平台實現的。基於筆記本+數據採集箱的攜帶型協議分析儀這種方式與上述採用協議分析軟體+PC網卡的主要區別就是專用的數據採集系統,在對複雜和高速的網路鏈路上要想全線速地撲捉或更有效地進行實時數據過濾採用專用的數據採集方式是必須的。手持式綜合協議分析儀從協議分析儀發展的角度來說,網路維護人員越來越需要使用功能強大並能將多種網路測試手段集於一身的綜合式測試分析手段,典型的協議分析儀上的功能延展就是加入網管功能、自動網路信息搜集功能、智能的專家故障診斷功能,並且移動性能要有效。這種綜合的協議分析儀或者說是綜合的網路分析儀成為了當今網路維護和測試儀的主要發展趨勢,象Fluke 的OptiView INA自上市來在網路現場分析、故障診斷、網路維護方法得到了相當廣泛的應用和發展。分散式協議分析儀隨著網路維護規模的加大,網路技術的變化,網路關鍵數據的採集也越來越困難。有時為了分析和採集數據,必須能在異地同時第進行採集,於是將協議分析儀的數據採集系統獨立開來,能安置在網路的不同地方,由能控制多個採集器的協議分析儀平台進行管理和數據處理,這種應用模式就誕生了分散式協議分析儀。通常這種方式的造價會非常高的。