180 likes | 452 Views
Lekc07. Protokolu analizatori (piem., EtherPeek). Protokolu analīze. Protokolu analīze (protocol analysis) vai tīklu analīze (network analysis) – tas ir process, kurā veic: pakešu pārtveršanu, statistikas vākšanu Pakešu atšifrēšanu (decoding)
E N D
Lekc07 Protokoluanalizatori (piem., EtherPeek)
Protokolu analīze • Protokolu analīze (protocol analysis) vai tīklu analīze (network analysis) – tas ir process, kurā veic: • pakešu pārtveršanu, • statistikas vākšanu • Pakešu atšifrēšanu (decoding) • Pakešu analizatorus lieto DT bojājumu kļūdu un pārslodzes lokalizācijai
Protokolu analīzes piemēri • Web-klients nevar savienoties ar serveri • Analīzē atklāj klienta procesus, • atpazīstot servera adresi, • noteicot lok. maršrutētāja adresi un • pieprasot savienojumu • Tīklu testēšana; tā var būt: • pasīva – gaidot neparastas pārraides • Aktīva – sūtot paketes tīklā • Piemēram, kā tiek ievēroti uguns sienas aizliegumi • Kāda ir tīkla veiktspēja, kā tā mainās
Protokolu analizatoru sastāvdaļas • “Juceklīgā” režīma (promiscuous mode) draiveris un karte • Pakešu filtri • Sekošanas buferis (trace buffer) • Atšifrētāji (decodes) • Avārijas signāli (alarms) • Statistika
“Juceklīgā” režīma (promiscuous mode) draiveris un karte • Šajā režīmākarte spēj pārtvert sekojošas paketes: • Apraides (broadcast) visiem lokāli • Multiraide (multicast) Grup-adreses • uniraide (unicast) vienam adresātam • Paketes ar kļūdām, piem., • Palielināta izmēra (oversized) • Samazināta izmēra (undersized – runts) • Bez pieļaujama noslēguma • Piemērs – Ethernet sadursmes (collision) fragments, kad 2 paketes saduras • Sīkāk sk. www.ieee.org
Pakešu filtri • Pakešu filtrs nosaka to pakešu tipus, ko satver (capture) analizators. Piem., var satvert tikai apraides paketes. • Kad filtrus lieto ienākošajām paketēm, tad tos sauc par satveršanas filtriem (capture filters) vai iepriekšējiem filtriem (pre-filters). • Filtrus var pielietot pakešu grupām pēc satveršanas – veido interesējošo pakešu a/kopas. Tas samazina izskatāmo pakešu skaitu. • Filtri bāzējas uz pakešu parametriem, piem.: • Avota adrese • Saņēmēja adrese • Avota IP-adrese • Saņēmēja IP-adrese • Lietojums vai process
Sekošanas buferis • Sekošanas buferis (trace buffer) ir atmiņas vieta (uz diska), kur glabājas no tīkla nokopētās paketes. • Pēc noklusēšanas tā apjoms var būt 1,024MB (Demo EtherPeek, kas glabā <250 paketes) vai 4MB
Atšifrētāji • Atšifrētāji (decodes) ir pārveidošanas līdzekļi un ļauj aplūkot paketes salasāmā formātā • Piemēram, tie var izdalīt IP-adresi u. c. laukus
Avārijas signāli • Avārijas signāli (alarms) norāda uz neparastu tīklu notikumu un kļūdu esamību • Tipiskākie avārijas signāli var būt: • Pārliecīga apraide • Atteice no pieprasījuma izpildes • Serveris nestrādā
Statistika • Daudzi analizatori atveido tīkla veiktspējas statistiku pēc tādiem parametriem kā: • Pakešu skaits sekundē • Tīkla izmantošanas procenti • Interesējošs rādītājs var būt arī sadalījums pēc garuma • Katram analizatoram var būt sava iespēju kopa – to var atrast ražotāju mājas lapās (sk. turpmāk)
Izplatītāko pakešu analizatoru ražotāji(Packet Analyzer Vendors) • Network Associates, Inc.: Sniffer Network Analyzer .http://www.nai.com • WildPackets, Inc.: EtherPeek, Token Peek, etc. http://www.wildpackets.com • Agilent Technologies: Internet Advisor http://www.agilent.com • Fluke Networks: LANMeter, Network Inspector, etc. http://www.fluke.com • Acterna Corporation: DominoFE, DominoLAN, etc. (formerly Wavetek and Wandel Goltermann):http://www.acterna.com • Ipswitch, Inc: Whats’ Up Gold http://www.ipswitch.com • Shomiti Systems, Inc.: Surveyor http://www.shomiti.com • Gerald Combs: Ethereal for Linux/Windows http://www.ethereal.com
Analizatora izvietošana tīklā • Parasti analizators jāizvieto tuvāk interesējošai iekārtai • Tīklā, kas savienots ar koncentratoriem, analizators var atrasties jebkurā vietā • Tīklā ar komutatoriem analizators atpazīst tikai paketes: Apraides, multiraides, Neatpazītas Speciali adresētas analizatoram • Ir 3 iespējas komutējamo tīklu analīzei: • Pakešu pārtveršana (hubbing out) • Porta pāradresācija (port redirection) • Attālināts monitorings (remote monitoring, RMON)
Pakešu pārtveršana • Novietojot analizatoru, piemēram, starp serveri un komutatoru un pievienojot analizatoru koncentratoram, var aplūkot servera ienākošo un izejošo trafiku • Dupleksas pārraides analīzei nepieciešams papildus dupleksa sadalītājs (piem., Century Taps), kas dublē visus pieņemošos (RX) un pārraidošos ziņojumus. • Sk. www.finisar.com/virtual/virtual.php?virtual_id=52
Porta pāradresācija • Novietojot analizatoru portā (pieslēgvietā) var novērot dialogus, ko veic ports • Komutatoru ražotāji šo procesu sauc par porta satveršanu (port spanning) vai porta atspoguļošanu (port mirroring)
Attālināts monitorings • Lietojot attālināto monitoringu (RMON) tiek izmantots protokols SNMP • datu vākšanai par trafiku attālinātā komutatorā un • Šo datu nosūtīšanai pārvaldības iekārtai, kas atšifrē pakešu datus • Šajā gadījumā komutators tiek izmantots kā RMON aģents