1 / 18

Lekc07

Lekc07. Protokolu analizatori (piem., EtherPeek). Protokolu analīze. Protokolu analīze (protocol analysis) vai tīklu analīze (network analysis) – tas ir process, kurā veic: pakešu pārtveršanu, statistikas vākšanu Pakešu atšifrēšanu (decoding)

stamos
Download Presentation

Lekc07

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Lekc07 Protokoluanalizatori (piem., EtherPeek)

  2. Protokolu analīze • Protokolu analīze (protocol analysis) vai tīklu analīze (network analysis) – tas ir process, kurā veic: • pakešu pārtveršanu, • statistikas vākšanu • Pakešu atšifrēšanu (decoding) • Pakešu analizatorus lieto DT bojājumu kļūdu un pārslodzes lokalizācijai

  3. Protokolu analīzes piemēri • Web-klients nevar savienoties ar serveri • Analīzē atklāj klienta procesus, • atpazīstot servera adresi, • noteicot lok. maršrutētāja adresi un • pieprasot savienojumu • Tīklu testēšana; tā var būt: • pasīva – gaidot neparastas pārraides • Aktīva – sūtot paketes tīklā • Piemēram, kā tiek ievēroti uguns sienas aizliegumi • Kāda ir tīkla veiktspēja, kā tā mainās

  4. Protokolu analizatoru sastāvdaļas • “Juceklīgā” režīma (promiscuous mode) draiveris un karte • Pakešu filtri • Sekošanas buferis (trace buffer) • Atšifrētāji (decodes) • Avārijas signāli (alarms) • Statistika

  5. “Juceklīgā” režīma (promiscuous mode) draiveris un karte • Šajā režīmākarte spēj pārtvert sekojošas paketes: • Apraides (broadcast) visiem lokāli • Multiraide (multicast) Grup-adreses • uniraide (unicast) vienam adresātam • Paketes ar kļūdām, piem., • Palielināta izmēra (oversized) • Samazināta izmēra (undersized – runts) • Bez pieļaujama noslēguma • Piemērs – Ethernet sadursmes (collision) fragments, kad 2 paketes saduras • Sīkāk sk. www.ieee.org

  6. Pakešu filtri • Pakešu filtrs nosaka to pakešu tipus, ko satver (capture) analizators. Piem., var satvert tikai apraides paketes. • Kad filtrus lieto ienākošajām paketēm, tad tos sauc par satveršanas filtriem (capture filters) vai iepriekšējiem filtriem (pre-filters). • Filtrus var pielietot pakešu grupām pēc satveršanas – veido interesējošo pakešu a/kopas. Tas samazina izskatāmo pakešu skaitu. • Filtri bāzējas uz pakešu parametriem, piem.: • Avota adrese • Saņēmēja adrese • Avota IP-adrese • Saņēmēja IP-adrese • Lietojums vai process

  7. Sekošanas buferis • Sekošanas buferis (trace buffer) ir atmiņas vieta (uz diska), kur glabājas no tīkla nokopētās paketes. • Pēc noklusēšanas tā apjoms var būt 1,024MB (Demo EtherPeek, kas glabā <250 paketes) vai 4MB

  8. Atšifrētāji • Atšifrētāji (decodes) ir pārveidošanas līdzekļi un ļauj aplūkot paketes salasāmā formātā • Piemēram, tie var izdalīt IP-adresi u. c. laukus

  9. Avārijas signāli • Avārijas signāli (alarms) norāda uz neparastu tīklu notikumu un kļūdu esamību • Tipiskākie avārijas signāli var būt: • Pārliecīga apraide • Atteice no pieprasījuma izpildes • Serveris nestrādā

  10. Statistika • Daudzi analizatori atveido tīkla veiktspējas statistiku pēc tādiem parametriem kā: • Pakešu skaits sekundē • Tīkla izmantošanas procenti • Interesējošs rādītājs var būt arī sadalījums pēc garuma • Katram analizatoram var būt sava iespēju kopa – to var atrast ražotāju mājas lapās (sk. turpmāk)

  11. Izplatītāko pakešu analizatoru ražotāji(Packet Analyzer Vendors) • Network Associates, Inc.: Sniffer Network Analyzer .http://www.nai.com • WildPackets, Inc.: EtherPeek, Token Peek, etc. http://www.wildpackets.com • Agilent Technologies: Internet Advisor http://www.agilent.com • Fluke Networks: LANMeter, Network Inspector, etc. http://www.fluke.com • Acterna Corporation: DominoFE, DominoLAN, etc. (formerly Wavetek and Wandel Goltermann):http://www.acterna.com • Ipswitch, Inc: Whats’ Up Gold http://www.ipswitch.com • Shomiti Systems, Inc.: Surveyor http://www.shomiti.com • Gerald Combs: Ethereal for Linux/Windows http://www.ethereal.com

  12. Analizatora izvietošana tīklā • Parasti analizators jāizvieto tuvāk interesējošai iekārtai • Tīklā, kas savienots ar koncentratoriem, analizators var atrasties jebkurā vietā • Tīklā ar komutatoriem analizators atpazīst tikai paketes: Apraides, multiraides, Neatpazītas Speciali adresētas analizatoram • Ir 3 iespējas komutējamo tīklu analīzei: • Pakešu pārtveršana (hubbing out) • Porta pāradresācija (port redirection) • Attālināts monitorings (remote monitoring, RMON)

  13. Pakešu pārtveršana • Novietojot analizatoru, piemēram, starp serveri un komutatoru un pievienojot analizatoru koncentratoram, var aplūkot servera ienākošo un izejošo trafiku • Dupleksas pārraides analīzei nepieciešams papildus dupleksa sadalītājs (piem., Century Taps), kas dublē visus pieņemošos (RX) un pārraidošos ziņojumus. • Sk. www.finisar.com/virtual/virtual.php?virtual_id=52

  14. Porta pāradresācija • Novietojot analizatoru portā (pieslēgvietā) var novērot dialogus, ko veic ports • Komutatoru ražotāji šo procesu sauc par porta satveršanu (port spanning) vai porta atspoguļošanu (port mirroring)

  15. Attālināts monitorings • Lietojot attālināto monitoringu (RMON) tiek izmantots protokols SNMP • datu vākšanai par trafiku attālinātā komutatorā un • Šo datu nosūtīšanai pārvaldības iekārtai, kas atšifrē pakešu datus • Šajā gadījumā komutators tiek izmantots kā RMON aģents

More Related