協議分析儀的簡單原理
分析網絡中傳輸數據包的最佳方式很大程度上取決于你手頭擁有什么設備。在網絡技術發展的早期階段(使用HUB或集線器的共享網絡時代),謎底很簡樸,只須將線路插在一臺集線器上,一切就搞定了——那就是使用協議分析儀。
協議分析儀就是能夠捕捉網絡報文的設備。協議分析儀的合法用處在于撲捉分析網絡的流量,以便找出所關心的網絡中潛伏的題目。例如,假設網絡的某一段運行得不是很好,報文的發送比較慢,而我們又不知道題目出在什么地方,此時就可以用協議分析儀來作出精確的題目判定。
協議分析儀在功能和設計方面有良多不同。有些只能分析一種協議,而另一些能夠分析幾百種協議。一般情況下,大多數的嗅探器至少能夠分析下面的協議:
以太網
TCP/IP
IPX
DECNet
其它……
協議分析儀通常是軟硬件的結合,通常使用專用硬件或設置為專用方式的網卡實施對網絡中的數據撲捉。捕捉在網絡中傳輸的數據信息方法稱為sniffing(嗅探)。
以太網協議是在統一回路向所有主機發送數據包信息。數據包頭包含有目標主機的準確地址。一般情況下只有具有該地址的主機會接受這個數據包。假如一臺主性能夠接收所有數據包,而不理會數據包頭內容,這種方式通常稱為“混雜”模式(P 模式)。這是協議分析儀撲捉數據的基礎,它的產生是由共享網絡的方式而來的。
對于今天的以太網交換機,謎底開始變成“視情況而定”。根據設計,大多數交換機不答應用戶查看從服務器到工作站的流量狀況(用戶正在使用的那臺工作站除外)。事實上,這種情況通過端口映射技術可能解決。詳細來講,就是將傳送到交換機上某個端口的傳輸流復制到另一個端口。但需要留意的是,目前的交換機又分為可治理的交換機和不可治理的交換機,不可治理的交換機價格比可治理的交換機要便宜,但通常缺少進行端口映射的能力。有些交換機固然自稱是可治理的,但實際上可能不外是支持SNMP,也許仍不具有端口映射功能。在用戶為網絡購買新交換機時,這是一個需要搞清晰的重要題目。
假如用戶的交換機不支持端口映射,也有方法來解決。這些方法對于在交換環境下的協議分析工作來說更加常用:
廉價和利便的方法:可以在被測試的工作站與網絡之間安裝一臺集線器。將協議分析儀連接到這臺集線器上,觀察兩個方向的傳輸流。
昂貴和專業的方法:使用專業的以太網測試接口盒(TAP)聯機安裝在被測網絡上,無需在使用的分析儀內執行額外的過濾就可查看一個方向的會話情況。這意味著用戶不能同時看到全部的會話,因此也許需要進行一些額外的數據包捕捉,來把握全部情況。
協議分析儀原本是網絡工程師的常用工具,不外被人利用來做其他的目的也長短經常見的。現今的黑客們都純熟地使用著功能強盛的協議分析儀,這本來就是一個工具的兩面性。
對于能使用協議分析儀的職員來說,本身他的權利就是很大的,假如他用這東西來干些什么,很難阻止的。這個工具用在安全角度,即有用又有害。就象刀子一樣,看它拿在誰的手中了。……
協議分析儀 protocol analyser 的工作從原理上要分為兩個部門:數據采集數據撲捉、協議分析。對這兩部門的工作從實現的形式上來說有以下常見的幾種形式:
純軟件的協議分析系統,如:Fluke的OptiView-PE。大多數的純軟件協議分析儀是可以使用普通的網卡來完成進行簡樸的數據采集工作的,這就是使用率最多的協議分析軟件+PC網卡。這種方式的協議分析儀通常有兩種原因存在的。
①簡樸廉價的軟件,或自由軟件,小巧實用,功能較弱
②運行在PC或報價本電腦上的協議分析儀的軟件部門,本來協議分析工作就是基于軟件分析的工作。所以再高真個協議分析儀其軟件部門也是要由計算機平臺實現的。
基于筆記本+數據采集箱的便攜式協議分析儀
這種方式與上述采用協議分析軟件+PC網卡的主要區別就是專用的數據采集系統,在對復雜和高速的網絡鏈路上要想全線速地撲捉或更有效地進行實時數據過濾采用專用的數據采集方式是必需的。
協議分析儀
從協議分析儀發展的角度來說,網絡維護職員越來越需要使用功能強盛并能將多種網絡測試手段集于一身的綜合式測試分析手段,典型的協議分析儀上的功能延展就是加入網管功能、自動網絡信息搜集功能、智能的專家故障診斷功能, 并且移念頭能要有效。這種綜合的協議分析儀或者說是綜合的網絡分析儀成為了當今網絡維護和測試儀的主要發展趨勢,象Fluke 的OptiView INA自上市來在網絡現場分析、故障診斷、網絡維護方法得到了相稱廣泛的應用和發展。
分布式協議分析儀
跟著網絡維護規模的加大,網絡技術的變化,網絡樞紐數據的采集也越來越難題。有時為了分析和采集數據,必需能在異地同時第進行采集,于是將協議分析儀的數據采集系統獨立開來,能安頓在網絡的不同地方,由能控制多個采集器的協議分析儀平臺進行治理和數據處理,這種應用模式就誕生了分布式協議分析儀。通常這種方式的造價會非常高的。