協(xié)議分析儀的簡單原理
分析網(wǎng)絡(luò)中傳輸數(shù)據(jù)包的最佳方式很大程度上取決于你手頭擁有什么設(shè)備。在網(wǎng)絡(luò)技術(shù)發(fā)展的早期階段(使用HUB或集線器的共享網(wǎng)絡(luò)時代),謎底很簡樸,只須將線路插在一臺集線器上,一切就搞定了——那就是使用協(xié)議分析儀。
協(xié)議分析儀就是能夠捕捉網(wǎng)絡(luò)報文的設(shè)備。協(xié)議分析儀的合法用處在于撲捉分析網(wǎng)絡(luò)的流量,以便找出所關(guān)心的網(wǎng)絡(luò)中潛伏的題目。例如,假設(shè)網(wǎng)絡(luò)的某一段運(yùn)行得不是很好,報文的發(fā)送比較慢,而我們又不知道題目出在什么地方,此時就可以用協(xié)議分析儀來作出精確的題目判定。
協(xié)議分析儀在功能和設(shè)計方面有良多不同。有些只能分析一種協(xié)議,而另一些能夠分析幾百種協(xié)議。一般情況下,大多數(shù)的嗅探器至少能夠分析下面的協(xié)議:
以太網(wǎng)
TCP/IP
IPX
DECNet
其它……
協(xié)議分析儀通常是軟硬件的結(jié)合,通常使用專用硬件或設(shè)置為專用方式的網(wǎng)卡實施對網(wǎng)絡(luò)中的數(shù)據(jù)撲捉。捕捉在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)信息方法稱為sniffing(嗅探)。
以太網(wǎng)協(xié)議是在統(tǒng)一回路向所有主機(jī)發(fā)送數(shù)據(jù)包信息。數(shù)據(jù)包頭包含有目標(biāo)主機(jī)的準(zhǔn)確地址。一般情況下只有具有該地址的主機(jī)會接受這個數(shù)據(jù)包。假如一臺主性能夠接收所有數(shù)據(jù)包,而不理會數(shù)據(jù)包頭內(nèi)容,這種方式通常稱為“混雜”模式(P 模式)。這是協(xié)議分析儀撲捉數(shù)據(jù)的基礎(chǔ),它的產(chǎn)生是由共享網(wǎng)絡(luò)的方式而來的。
對于今天的以太網(wǎng)交換機(jī),謎底開始變成“視情況而定”。根據(jù)設(shè)計,大多數(shù)交換機(jī)不答應(yīng)用戶查看從服務(wù)器到工作站的流量狀況(用戶正在使用的那臺工作站除外)。事實上,這種情況通過端口映射技術(shù)可能解決。詳細(xì)來講,就是將傳送到交換機(jī)上某個端口的傳輸流復(fù)制到另一個端口。但需要留意的是,目前的交換機(jī)又分為可治理的交換機(jī)和不可治理的交換機(jī),不可治理的交換機(jī)價格比可治理的交換機(jī)要便宜,但通常缺少進(jìn)行端口映射的能力。有些交換機(jī)固然自稱是可治理的,但實際上可能不外是支持SNMP,也許仍不具有端口映射功能。在用戶為網(wǎng)絡(luò)購買新交換機(jī)時,這是一個需要搞清晰的重要題目。
假如用戶的交換機(jī)不支持端口映射,也有方法來解決。這些方法對于在交換環(huán)境下的協(xié)議分析工作來說更加常用:
廉價和利便的方法:可以在被測試的工作站與網(wǎng)絡(luò)之間安裝一臺集線器。將協(xié)議分析儀連接到這臺集線器上,觀察兩個方向的傳輸流。
昂貴和專業(yè)的方法:使用專業(yè)的以太網(wǎng)測試接口盒(TAP)聯(lián)機(jī)安裝在被測網(wǎng)絡(luò)上,無需在使用的分析儀內(nèi)執(zhí)行額外的過濾就可查看一個方向的會話情況。這意味著用戶不能同時看到全部的會話,因此也許需要進(jìn)行一些額外的數(shù)據(jù)包捕捉,來把握全部情況。
協(xié)議分析儀原本是網(wǎng)絡(luò)工程師的常用工具,不外被人利用來做其他的目的也長短經(jīng)常見的。現(xiàn)今的黑客們都純熟地使用著功能強(qiáng)盛的協(xié)議分析儀,這本來就是一個工具的兩面性。
對于能使用協(xié)議分析儀的職員來說,本身他的權(quán)利就是很大的,假如他用這東西來干些什么,很難阻止的。這個工具用在安全角度,即有用又有害。就象刀子一樣,看它拿在誰的手中了。……
協(xié)議分析儀 protocol analyser 的工作從原理上要分為兩個部門:數(shù)據(jù)采集數(shù)據(jù)撲捉、協(xié)議分析。對這兩部門的工作從實現(xiàn)的形式上來說有以下常見的幾種形式:
純軟件的協(xié)議分析系統(tǒng),如:Fluke的OptiView-PE。大多數(shù)的純軟件協(xié)議分析儀是可以使用普通的網(wǎng)卡來完成進(jìn)行簡樸的數(shù)據(jù)采集工作的,這就是使用率最多的協(xié)議分析軟件+PC網(wǎng)卡。這種方式的協(xié)議分析儀通常有兩種原因存在的。
①簡樸廉價的軟件,或自由軟件,小巧實用,功能較弱
②運(yùn)行在PC或報價本電腦上的協(xié)議分析儀的軟件部門,本來協(xié)議分析工作就是基于軟件分析的工作。所以再高真?zhèn)€協(xié)議分析儀其軟件部門也是要由計算機(jī)平臺實現(xiàn)的。
基于筆記本+數(shù)據(jù)采集箱的便攜式協(xié)議分析儀
這種方式與上述采用協(xié)議分析軟件+PC網(wǎng)卡的主要區(qū)別就是專用的數(shù)據(jù)采集系統(tǒng),在對復(fù)雜和高速的網(wǎng)絡(luò)鏈路上要想全線速地?fù)渥交蚋行У剡M(jìn)行實時數(shù)據(jù)過濾采用專用的數(shù)據(jù)采集方式是必需的。
協(xié)議分析儀
從協(xié)議分析儀發(fā)展的角度來說,網(wǎng)絡(luò)維護(hù)職員越來越需要使用功能強(qiáng)盛并能將多種網(wǎng)絡(luò)測試手段集于一身的綜合式測試分析手段,典型的協(xié)議分析儀上的功能延展就是加入網(wǎng)管功能、自動網(wǎng)絡(luò)信息搜集功能、智能的專家故障診斷功能, 并且移念頭能要有效。這種綜合的協(xié)議分析儀或者說是綜合的網(wǎng)絡(luò)分析儀成為了當(dāng)今網(wǎng)絡(luò)維護(hù)和測試儀的主要發(fā)展趨勢,象Fluke 的OptiView INA自上市來在網(wǎng)絡(luò)現(xiàn)場分析、故障診斷、網(wǎng)絡(luò)維護(hù)方法得到了相稱廣泛的應(yīng)用和發(fā)展。
分布式協(xié)議分析儀
跟著網(wǎng)絡(luò)維護(hù)規(guī)模的加大,網(wǎng)絡(luò)技術(shù)的變化,網(wǎng)絡(luò)樞紐數(shù)據(jù)的采集也越來越難題。有時為了分析和采集數(shù)據(jù),必需能在異地同時第進(jìn)行采集,于是將協(xié)議分析儀的數(shù)據(jù)采集系統(tǒng)獨(dú)立開來,能安頓在網(wǎng)絡(luò)的不同地方,由能控制多個采集器的協(xié)議分析儀平臺進(jìn)行治理和數(shù)據(jù)處理,這種應(yīng)用模式就誕生了分布式協(xié)議分析儀。通常這種方式的造價會非常高的。