Nedarbingumo atostogos

Tinklo srauto analizatoriai: mokamų ir nemokamų sprendimų apžvalga. Tinklo analizatoriai Interneto protokolo analizatorius straipsnis

27.06.2022

METROSCOPE™ Ethernet tinklo analizatorius

Bendrovė Fluke tinklai, pristato atnaujintą Ethernet tinklo analizatorių - metroskopas.

MetroScope Analyzer skirtas patikrinti ir dokumentuoti prieigos ir paslaugų, teikiamų per Ethernet ryšius, kokybę.

Įrenginys naudojamas tiek naujų jungčių kvalifikavimui, tiek esamų problemų sprendimui. Šioms problemoms spręsti naudojami testai: klaidingų BERT klaidų bitų skaičiaus nustatymas, RFC 2544 rekomenduojami testai ir naujas originali testavimo metodika ProVision™. Šių testų ir metodų derinys leidžia išmatuoti tiekėjų ir verslo klientų Ethernet kanalų našumą, audituoti ir stebėti tinklo veikimą bei kontroliuoti pagrindinių paslaugų – serverių (HTTP, DNS, Mail ir kt.), VoIP, IPTV.

Visus bandymų rezultatus galima išsaugoti ir atspausdinti su įmonės logotipu, naudoti tiek įmonės vidiniame dokumentų sraute, tiek kaip priedą prie naujų komunikacijos kanalų paleidimo aktų.


Funkcinės savybės:

  • „ProVision™ Test Suite“ – išplėstinis nešiklio eterneto ryšio testavimas
  • Testai pagal RFC2544
  • Integruotas VoIP SIP telefonas su MOS matavimo funkcija
  • Pagrindinis IPTV palaikymo kanalo testavimas
  • Kelių gijų testavimas su skirtingais prioritetais, skirtingiems virtualiems kanalams ir skirtingomis kryptimis.
  • Drebėjimo matavimas 40n tikslumu
  • Bitų klaidų dažnio tikrintuvas (BERT testai)
  • Dekoduoti ir rodyti sukrautus VLAN (QinQ) – dvigubas žymėjimas
  • Galimybė filtruoti pagal VLAN numerį
  • Įrankiai serverio atsako laikui matuoti (HTTP, DNS, paštas ir kt.)
  • Paketų su CRC klaidomis generavimas, siekiant įvertinti aktyvios įrangos atsaką
  • 802.3ah įrenginių palaikymas
  • 802.11a/b/g belaidžio tinklo testavimas
  • Drebėjimo matavimas mikrosekundžių tikslumu
  • Testo rezultatas Išlaikyta / Nepavyko visiems testams
  • Išbandykite ataskaitų teikimo ir scenarijų testavimo galimybes su vartotojo konfigūruojamais testavimo apribojimais
  • Galimybė pasirinkti bet kokio dydžio kadro ilgį (iki 2048 baitų)
  • Ataskaitose pateikiami vartotojų komentarai, įmonės logotipas, prietaisų nustatymai, maršruto sekimas
  • Veikimas nuotolinio / veidrodinio / kilpos režimu:
  • Antrasis MetroScope
  • LinkReflector nuotolinis testeris
  • Ciklo pagrindu veikiantis aktyvios įrangos prievadas
  • Fluke Networks Visual UpTime Select Probe
  • 802.3ah įrenginys
  • Integruotas tinklo įrenginių valdymas (telnet, terminalo emuliacija, FTP ir žiniatinklio naršyklė)
  • Tikrinami laidiniai (variniai ir šviesolaidiniai) ir belaidžiai 802.11 tinklai


Bandymo metodų palyginimas:RFC 2544 VSNuostata

Nuostata testas, skirtas kanalams tikrinti MetroEthernet realiomis, o ne laboratorinėmis sąlygomis, turi nemažai privalumų lyginant su šiandien naudojamais tyrimais pagal RFC 2544 metodą.

  1. RFC 2544 testai vykdomi nuosekliai, t.y. vienas po kito, naudojant ProVision, jie veikia vienu metu. Taip ne tik sutaupoma laiko, bet ir išvengiama klaidos, kuri yra susijusi su kanalo vėlavimu matuojant pralaidumą.
  2. „ProVision“ galima sukonfigūruoti, kad išbandytų asimetrines nuorodas, naudojamas xDSL.
  3. „ProVision“ vienu metu gali išbandyti kelis kanalus su keliais srautais (parinktis „Multistream“).
  4. RFC 2544 testo rezultatai dažniausiai rodomi atskirai, tačiau naudojant ProVision testus rezultatai rodomi viename ekrane.
  5. Be įprastos gaunamų duomenų žemumų, aukščiausių ir vidurkių analizės, ProVision pagalba galime kurti tendencijas ir analizuoti jas realiu laiku.

RFC2 544

ProVision™

Pralaidumas (be nuostolių)

Pralaidumas (praradimas)

Asimetrinių kanalų pralaidumas

Delsimas

Delsimas

Vėlavimo variacija

Taip (paprastai galima)

Visų testų nustatymas vienu metu

Kelios gijos

Rodyti skirtingų parametrų rezultatus

Rodyti rezultatus keliose gijose

Vienu metu atliekami matavimai

Rezultatai gyvai

tendencija

Kanalo testavimas IPTV palaikymui

MetroScope turi galimybę generuoti multicast srautą naudojant įmontuotą srauto generatorių. Naujoji „multicast aplikacija“ leidžia prisijungti prie įrenginių grupės ir valdyti reakcijos laiką.


Kokybės stebėjimas ir analizėVoIP

Naujoje versijoje MetroScope yra VoIP testavimo funkcija (pasirenkama), leidžianti:

  • skambinti iš prietaiso į bet kurį kitą IP telefoną
  • paleisti iš anksto paruoštą WAV failą
  • generuoti srautą ir skambinti su galimybe rodyti diagramą 1 sekundės tikslumu, kuriame rodoma kalbos kokybė (MOS, R faktorius, paketų praradimas, vėlavimo pokytis), skambučio trukmė ir perduotų kadrų skaičius.

Automatinis tinklo testavimas ir inventorizacija.

Prisijungus prie vietinio tinklo MetroS susidoroti pradeda automatinio aptikimo procedūrą (iki 1000 įrenginių). Prietaisas rodo informaciją apie IP adresų diapazoną, potinklio kaukes, domeno valdiklius ir kt. Visi rasti tinklo įrenginiai yra sugrupuoti į lentelę pagal tai, ar jie priklauso IP, VLAN, IPX ar NetBIOS tinklams. Paieškos funkcija leidžia rasti įrenginius pagal IP adresą, pavadinimą arba MAC adresą.


Serverio atsako laiko matavimas

Ši funkcija leidžia išmatuoti tokių programų kaip Mail, DNS, FTP ar WWW TCP prievadų atsako laiką. Programų prievadai tikrinami kliento režimu, todėl pašalinamos kliūtys PING komandai, pvz., ugniasienės ir žemas ICMP protokolo prioritetas. Programos prievado atsakai gali būti analizuojami naudojant integruotą Trace Route funkciją, kad būtų galima tiksliai nustatyti našumo pablogėjimo vietą visame maršrute.


Tinklo stebėjimasVLAN

Analizatoriuje MetroScope buvo įdiegta daug funkcijų, kurios pagreitina tinklo trikčių šalinimą. Tai apima VLAN aptikimo ir stebėjimo funkcijas, kurios leidžia stebėti jų apkrovą, taip pat rasti jungiklių ir kitų tinklo įrenginių konfigūracijos klaidas.



Belaidžių tinklų analizėWi- fi (802.11 a/ b/ g)

Atnaujintame analizatoriuje MetroScope Dabar galima Wi-Fi tinklo testavimo parinktis, kurios pagalba įrenginys gauna informaciją apie visų rastų belaidžių įrenginių signalo lygį, signalo ir triukšmo santykį, kanalų perkrovą ir saugos nustatymus.
Prietaisas nustato visų prieigos taškų ir belaidžių klientų skaičių, vietą ir nustatymus.


LAN fizinio sluoksnio testavimas

Be to, analizatorius MetroScope leidžia išbandyti šviesolaidžio ir vario kabelių linijas fiziniu lygmeniu.
Bandant šviesolaidines linijas, stebima optinio signalo įėjimo ir išėjimo galia, taip pat temperatūra, lazerio poslinkio srovė ir siųstuvo-imtuvo maitinimo įtampa.
Kalbant apie varinių UTP kabelių diagnostiką, prietaisas nustato kabelio gedimą (naudodamas įmontuotą OTDR), nubraižo jo laidus ir generuoja tono signalą, naudojamą kabeliui sekti (naudodamas indukcinį zondą IntelliTone Pro arba PRO3000).

Į komplektą MTSCOPE-RINKINYSpapildomai apima nebrangų LinkRunner DUO CE tinklo testerį, kuris leidžia atlikti tinklo kelių testavimą fiziniu, nuorodų ir tinklo lygiu nenaudojant antrojo MetroScope.
Norėdami patikrinti kelis tinklo ryšius, vienas analizatorius MetroScope gali sąveikauti su neribotu skaičiumi įrenginių LinkRunner DUO CE, kurie ne tik „atspindi“ srautą, bet patys yra galingi diagnostikos įrankiai.

MetroScope analizatorių modelių palyginimas


* Įskaitant įrenginio aptikimą, tinklo aptikimą, VLAN aptikimą, artimiausią jungiklį, jungiklių nuskaitymą, pagrindinius įrenginius, problemų aptikimą

** Bandymas gali būti atliekamas PHY atgalinio ryšio režimu arba gali būti LinkReflector, antrasis MetroScope analizatorius arba 802.3ah palaikantis įrenginys


pardavėjo kodas Katalogo kodas vardas
MTSCOPE-RINKINYSMTSCOPE-RINKINYSMetroScope SPA rinkinys
MTSCOPEMTSCOPEMetroScope SPA tinklo analizatorius
LRPRO REFLECTLRPRO REFLECTLinkReflector nuotolinis testeris
LRPRO LIŪTASLRPRO LIŪTASLičio jonų akumuliatorių paketas, skirtas LinkReflec
ES2-SXES2-SX1000BASE-SX gigabitų šviesolaidinis siųstuvas-imtuvas
ES2-ZXES2-ZX1000BASE-ZX gigabito šviesolaidinis siųstuvas-imtuvas
ES2-LXES2-LX1000BASE-LX gigabitų šviesolaidinis siųstuvas-imtuvas
MS-SXMS-SXMS-SX, šviesolaidinis siųstuvas-imtuvas SFP, DDM, GI
ES AKUMULIATORIUSES AKUMULIATORIUSAtsarginė baterija
ES-BATT-CHGES-BATT-CHGIšorinis akumuliatoriaus įkroviklis
MS-AUTO-CHGMS-AUTO-CHGCigarečių žiebtuvėliu maitinamas įkroviklis
OPVS-KB USB mini klaviatūra
944806 944806 Nulinis modemo kabelis (DB9)
DTX-ACUNDTX-ACUNMaitinimo šaltinis, universalus

Kai kuriais atvejais tinklo srauto analizė naudojama norint nustatyti mazgo ir tinklo segmentų tinklo krūvos veikimo problemas. Yra įrankių, leidžiančių rodyti (klausytis) ir analizuoti tinklo veikimą perduodamų kadrų, tinklo paketų, tinklo jungčių, datagramų ir taikomųjų programų protokolų lygiu..

Priklausomai nuo Diagnostikos situacijose gali būti pasiekiamas tiek pagrindinio kompiuterio, kuriame klausomas tinklo srautas, tiek tinklo segmento, maršrutizatoriaus prievado ir kt. srautas. Išplėstinės galimybės perimti eismą yra pagrįstos „išlaidus“ režimas tinklo adapterio veikimas: apdorojami visi kadrai (ir ne tik tie, kurie skirti šiam MAC adresui ir transliuojami, kaip įprastai veikiant).

Ethernet tinkle yra šios pagrindinės srauto klausymosi funkcijos:

  • Hub pagrindu veikiančiame tinkle visas susidūrimo domeno srautas pasiekiamas bet kuriai tinklo stočiai.
  • Tinkluose, pagrįstuose tinklo stoties jungikliais, pasiekiamas jos srautas, taip pat visas šio segmento transliacijų srautas.
  • Kai kurie valdomi jungikliai turi funkciją nukopijuoti šio prievado srautą į stebėjimo prievadą(„veidrodis“, uosto stebėjimas).
  • Specialių įrankių (sriegių), įtrauktų į tinklo ryšio pertrauką, naudojimas ir ryšio srauto perdavimas į atskirą prievadą.
  • „Apgaulė“ su stebule- komutatoriaus prievadas, kurio srauto reikia klausytis, įjungiamas per šakotuvą, monitoriaus mazgą taip pat prijungus prie šakotuvo (tokiu atveju daugeliu atvejų tinklo ryšio našumas sumažėja).

Yra programos tinklo monitoriai ar analizatoriai, snifferis). Be to, analizės programinė įranga gali filtruoti srautą pagal taisykles, iššifruoti (iššifruoti) protokolus, skaityti statistiką ir diagnozuoti kai kurias problemas.

Pastaba: geras pagrindinio įrankio pasirinkimas tinklo srautui analizuoti grafinę aplinką yra nemokamas paketas wireshark[43] galima Windows ir kai kurių Linux platinimų saugyklose.

tcpdump įrankis

Tcpdump konsolės įrankis yra įtrauktas į daugumą Unix sistemų ir leidžia užfiksuoti ir rodyti tinklo srautą [44]. Priemonė naudoja libpcap, nešiojamąją C/C++ biblioteką tinklo srautui užfiksuoti.

Norėdami įdiegti tcpdump „Debian“, galite naudoti komandą:

# apt-get install tcpdump

Norėdami paleisti šią priemonę, turite turėti leidimus. supervartotojas(ypač dėl poreikio perkelti tinklo adapterį į „promiscuous“ režimą). Apskritai komandos formatas yra toks:

tcpdump<опции> <фильтр-выражение>

Dėl konsolės išvesties antraštės aprašymas(iššifruoti duomenys) užfiksuotų paketų, turite nurodyti srauto analizės sąsają (-i parinktis):

# tcpdump -i eth0

Galite išjungti IP adresų konvertavimą į domenų vardus (kadangi didelis srautas sukuria daug užklausų į DNS serverį) - parinktis -n:

# tcpdump -n -i eth0

Norėdami parodyti nuorodų sluoksnio duomenis (pavyzdžiui, „Mac“ adresus ir kt.), pasirinkite -e :

# tcpdump -en -i eth0

Spausdinti papildomą informaciją (pvz., TTL , IP parinktys) - parinktis -v :

# tcpdump -ven -i eth0

Užfiksuojamų paketų dydžio padidinimas (daugiau nei 68 baitai pagal numatytuosius nustatymus) - parinktis -s, nurodanti dydį (-s 0 - užfiksuoti visus paketus):

Rašykite į failą (paketai tiesiogiai - "dump") - parinktis -w su failo pavadinimu:

# tcpdump -w traf.dump

Paketų skaitymas iš failo - parinktis - r su failo pavadinimu:

# tcpdump -r traf.dump

Pagal numatytuosius nustatymus tcpdump veikia neteisėtu režimu. Jungiklis -p nurodo tcpdump fiksuoti tik šiam pagrindiniam kompiuteriui skirtą srautą.

Daugiau informacijos apie tcpdump filtro parinktis ir formatą rasite informaciniame vadove (man tcpdump ).

Analizuokite srautą tinklo sąsajos lygiu ir tinklo lygiu naudodami tcpdump

Norint pasirinkti Ethernet kadrus, naudojamos šios tcpdump konstrukcijos (bendras vaizdas):

tcpdump eteris ( src | dst | host ) MAC_ADDRESS

kur src yra šaltinio MAC adresas, dst- Paskirties MAC adresas, pagrindinis kompiuteris - src arba dst, taip pat paryškinti transliacijos srautą.

Originalus: 8 geriausi paketų snifferiai ir tinklo analizatoriai
Autorius: Jonas Watsonas
Paskelbimo data: 2017 m. lapkričio 22 d
Vertimas: A. Krivoshey
Perdavimo data: 2017 m. gruodžio mėn

Paketų uostymas yra šnekamosios kalbos terminas, reiškiantis tinklo srauto uostymo meną. Priešingai populiariems įsitikinimams, tokie dalykai kaip el. laiškai ir tinklalapiai nepereina per internetą viename gabale. Jie suskaidomi į tūkstančius mažų duomenų paketų ir taip siunčiami internetu. Šiame straipsnyje apžvelgsime geriausius nemokamus tinklo analizatorius ir paketų snifferius.

Yra daug paslaugų, kurios renka tinklo srautą, ir dauguma jų kaip branduolį naudoja pcap (į Unix panašiose sistemose) arba libcap (Windows). Kitos rūšies įrankis padeda analizuoti šiuos duomenis, nes net nedidelis srautas gali generuoti tūkstančius paketų, kuriuos sunku naršyti. Beveik visos šios komunalinės paslaugos mažai skiriasi viena nuo kitos renkant duomenis, pagrindiniai skirtumai yra tai, kaip jos analizuoja duomenis.

Norint analizuoti tinklo srautą, reikia suprasti, kaip tinklas veikia. Nėra įrankio, kuris stebuklingai pakeistų analitiko žinias apie pagrindinius tinklus, pvz., TCP „trijų krypčių rankos paspaudimas“, naudojamas dviejų įrenginių ryšiui inicijuoti. Analitikai taip pat turi šiek tiek suprasti tinklo srauto tipus įprastai veikiančiame tinkle, pvz., ARP ir DHCP. Šios žinios yra svarbios, nes analizės įrankiai tiesiog parodys, ko paprašysite. Jūs turite nuspręsti, ko prašyti. Jei nežinote, kaip paprastai atrodo jūsų tinklas, gali būti sunku suprasti, kad radote tai, ko ieškote, daugybėje sukompiliuotų paketų.

Geriausi paketų uostikliai ir tinklo analizatoriai

pramoniniai įrankiai

Pradėkime nuo viršaus, o tada pereikime prie pagrindų. Jei turite reikalų su įmonės lygio tinklu, jums reikės didelio ginklo. Nors beveik viskas savo esme naudoja tcpdump (daugiau apie tai vėliau), įmonės lygio įrankiai gali išspręsti tam tikras sudėtingas problemas, pvz., koreliuoti srautą iš kelių serverių, teikti protingas užklausas problemoms nustatyti, įspėti apie išimtis ir sukurti gerus grafikus, visada reikalauja viršininkai..

Įmonės lygio įrankiai dažniausiai sutelkia dėmesį į tinklo srauto srautinį perdavimą, o ne į paketų turinio vertinimą. Tuo noriu pasakyti, kad daugumos sistemos administratorių įmonėje pagrindinis dėmesys yra skirtas užtikrinti, kad tinkle nebūtų našumo kliūčių. Kai atsiranda tokių kliūčių, paprastai siekiama nustatyti, ar problemą sukelia tinklas, ar tinkle esanti programa. Kita vertus, šie įrankiai paprastai gali apdoroti tiek srauto, kad gali padėti numatyti, kada tinklo segmentas bus visiškai įkeltas, o tai yra labai svarbus tinklo pralaidumo valdymo taškas.

Tai labai didelis IT valdymo įrankių rinkinys. Šiame straipsnyje Deep Packet Inspection and Analysis įrankis, kuris yra jo sudedamoji dalis, yra tinkamesnis. Surinkti tinklo srautą yra gana paprasta. Naudojant tokius įrankius kaip „WireShark“, pagrindinė analizė taip pat nėra problema. Tačiau situacija ne visada yra visiškai aiški. Labai užimtame tinkle gali būti sunku nustatyti net labai paprastus dalykus, pvz.:

Kokia tinklo programa generuoja šį srautą?
- jei programa žinoma (tarkime, interneto naršyklė), kur jos vartotojai praleidžia daugiausiai laiko?
- kurios jungtys yra ilgiausios ir perkrauna tinklą?

Dauguma tinklo įrenginių naudoja kiekvieno paketo metaduomenis, kad įsitikintų, jog paketas nukeliauja ten, kur reikia. Paketo turinys tinklo įrenginiui nežinomas. Kitas dalykas – gilus paketų patikrinimas; tai reiškia, kad tikrinamas tikrasis pakuotės turinys. Tokiu būdu galima aptikti svarbią tinklo informaciją, kurios negalima surinkti iš metaduomenų. Tokie įrankiai kaip tie, kuriuos teikia „SolarWinds“, gali pateikti daugiau reikšmingų duomenų nei tik srauto srautas.

Kitos daug duomenų reikalaujančios tinklo valdymo technologijos apima NetFlow ir sFlow. Kiekvienas turi savo stipriąsias ir silpnąsias puses,

Galite sužinoti daugiau apie NetFlow ir sFlow.

Tinklo analizė apskritai yra pažangi tema, kuri remiasi tiek įgytomis žiniomis, tiek praktine darbo patirtimi. Galima išmokyti žmogų detalių žinių apie tinklo paketus, tačiau jei šis žmogus neturi žinių apie patį tinklą ir neturi patirties aptikti anomalijas, jam nelabai seksis. Šiame straipsnyje aprašytus įrankius turėtų naudoti patyrę tinklo administratoriai, kurie žino, ko nori, bet nėra tikri, kuris įrankis yra geriausias. Jas taip pat gali naudoti mažiau patyrę sistemos administratoriai, kad įgytų kasdienės tinklo patirties.

Pagrindai

Pagrindinis tinklo srauto rinkimo įrankis yra

Tai atvirojo kodo programa, įdiegta beveik visose Unix tipo operacinėse sistemose. Tcpdump yra puiki duomenų rinkimo priemonė, turinti labai sudėtingą filtravimo kalbą. Svarbu žinoti, kaip filtruoti duomenis juos renkant, kad gautumėte įprastą duomenų rinkinį analizei. Užfiksavus visus duomenis iš tinklo įrenginio, net ir vidutiniškai užimtame tinkle, gali būti sugeneruota per daug duomenų, kuriuos bus labai sunku analizuoti.

Kai kuriais retais atvejais pakaks atspausdinti tcpdump užfiksuotus duomenis tiesiai į ekraną, kad rastumėte tai, ko jums reikia. Pavyzdžiui, rašydamas šį straipsnį surinkau srautą ir pastebėjau, kad mano mašina siunčia srautą į IP adresą, kurio aš nežinau. Pasirodo, mano aparatas siuntė duomenis į Google IP adresą 172.217.11.142. Kadangi neturėjau jokių Google produktų ir nebuvau atidaręs Gmail, nežinojau, kodėl taip atsitiko. Patikrinau savo sistemą ir radau:

[ ~ ]$ ps -ef | grep google vartotojas 1985 1881 0 10:16 ? 00:00:00 /opt/google/chrome/chrome --type=service

Pasirodo, net kai „Chrome“ neveikia, ji veikia kaip paslauga. Nebūčiau to pastebėjęs be paketo uostymo. Užfiksavau dar kelis duomenų paketus, bet šį kartą turėjau tcpdump įrašyti duomenis į failą, kurį atidariau Wireshark (apie tai vėliau). Štai įrašai:

Tcpdump yra mėgstamiausias sistemos administratorių įrankis, nes tai yra komandinės eilutės įrankis. tcpdump paleisti nereikia GUI. Gamybos serveriams grafinė sąsaja yra gana žalinga, nes sunaudoja sistemos išteklius, todėl pirmenybė teikiama komandų eilutės programoms. Kaip ir daugelis šiuolaikinių paslaugų, tcpdump turi labai turtingą ir sudėtingą kalbą, kurią įvaldyti užtrunka šiek tiek laiko. Keletas pagrindinių komandų apima tinklo sąsajos pasirinkimą duomenims rinkti ir tų duomenų įrašymą į failą, kad juos būtų galima eksportuoti analizei kitur. Tam naudojami jungikliai -i ir -w.

# tcpdump -i eth0 -w tcpdump_packets tcpdump: klausymas naudojant eth0, nuorodos tipas EN10MB (Ethernet), fiksavimo dydis 262144 baitai ^C51 paketai užfiksuoti

Ši komanda sukuria failą su užfiksuotais duomenimis:

Failas tcpdump_packets tcpdump_packets: tcpdump fiksavimo failas (little-endian) – 2.4 versija (Ethernet, fiksavimo ilgis 262144)

Tokių failų standartas yra pcap formatas. Tai nėra tekstas, todėl jį gali išanalizuoti tik šį formatą suprantančios programos.

3. Vėjo šiukšlynas

Dauguma naudingų atvirojo kodo paslaugų yra klonuojamos į kitas operacines sistemas. Kai taip nutinka, sakoma, kad programa buvo perkelta. Windump yra tcpdump prievadas ir elgiasi labai panašiai.

Svarbiausias skirtumas tarp Windump ir tcpdump yra tas, kad prieš paleidžiant Windump reikia įdiegti Winpcap biblioteką. Nors „Windump“ ir „Winpcap“ teikia tas pats prižiūrėtojas, juos reikia atsisiųsti atskirai.

Winpcap yra biblioteka, kuri turi būti iš anksto įdiegta. Tačiau Windump yra exe failas, kurio nereikia įdiegti, todėl galite jį tiesiog paleisti. Tai reikia atsiminti, jei naudojate „Windows“ tinklą. Jums nereikia įdiegti „Windump“ kiekviename kompiuteryje, nes galite tiesiog nukopijuoti jį, jei reikia, bet jums reikės „Winpcap“, kad palaikytų „Windup“.

Kaip ir tcpdump, Windump gali rodyti tinklo duomenis analizei, filtruoti tokiu pačiu būdu ir įrašyti duomenis į pcap failą, kad būtų galima vėliau analizuoti.

4 Wireshark

„Wireshark“ yra kitas geriausiai žinomas „sysadmin“ rinkinio įrankis. Tai ne tik leidžia fiksuoti duomenis, bet ir suteikia keletą pažangių analizės įrankių. Be to, „Wireshark“ yra atvirojo kodo ir buvo perkelta į beveik visas esamas serverių operacines sistemas. „Wireshark“, vadinamas „Etheral“, dabar veikia visur, įskaitant kaip atskirą nešiojamąją programą.

Jei analizuojate srautą GUI serveryje, Wireshark gali padaryti viską už jus. Jis gali rinkti duomenis ir tada juos analizuoti. Tačiau GUI serveriuose yra reta, todėl galite nuotoliniu būdu rinkti tinklo duomenis ir išnagrinėti gautą pcap failą savo kompiuterio Wireshark.

Pirmą kartą paleidus, Wireshark leidžia įkelti esamą pcap failą arba paleisti srauto fiksavimą. Pastaruoju atveju galite papildomai nustatyti filtrus, kad sumažintumėte renkamų duomenų kiekį. Jei nenurodysite filtro, Wireshark tiesiog surinks visus tinklo duomenis iš pasirinktos sąsajos.

Viena iš naudingiausių „Wireshark“ funkcijų yra galimybė sekti srautą. Geriausia siūlą laikyti grandine. Žemiau esančioje ekrano kopijoje matome daug užfiksuotų duomenų, bet mane labiausiai domino Google IP adresas. Galiu spustelėti dešiniuoju pelės mygtuku ir sekti TCP srautą, kad pamatyčiau visą grandinę.

Jei srautas buvo užfiksuotas kitame kompiuteryje, galite importuoti PCAP failą naudodami dialogo langą Wireshark failas -> Atidaryti. Importuotiems failams galimi tie patys filtrai ir įrankiai, kaip ir užfiksuotiems tinklo duomenims.

5.ryklys

„Tshark“ yra labai naudingas ryšys tarp „tcpdump“ ir „Wireshark“. Tcpdump puikiai renka duomenis ir gali tik chirurginiu būdu išgauti jums reikalingus duomenis, tačiau jo duomenų analizės galimybės yra labai ribotos. „Wireshark“ puikiai fiksuoja ir analizuoja, tačiau turi sunkią vartotojo sąsają ir negali būti naudojama ne GUI serveriuose. Išbandykite tshark, jis veikia komandinėje eilutėje.

„Tshark“ naudoja tas pačias filtravimo taisykles kaip ir „Wireshark“, o tai neturėtų stebinti, nes tai iš esmės tas pats produktas. Toliau pateikta komanda tik nurodo „tshark“ paimti paskirties IP adresą ir kai kuriuos kitus dominančius laukus iš paketo HTTP dalies.

# tshark -i eth0 -Y http.request -T laukai -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/2010010 /57.0 /images/title.png 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/styles/phoenix.css (Linux_8 rv:57.0) Gecko/20100101 Firefox/57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64. 0 Firefox1; rv)1:0 /57.0 /images/styles/index.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/images/title.png (Linux 0 172.20.1/5 x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /favicon.ico 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 / 20100101 Firefox/57.0

Jei norite įrašyti srautą į failą, naudokite parinktį -W, o tada -r (skaityti) jungiklį, kad jį perskaitytumėte.

Pirmiausia užfiksuokite:

# tshark -i eth0 -w tshark_packets Užfiksuojama naudojant "eth0" 102 ^C

Perskaitykite jį čia arba perkelkite į kitą vietą analizei.

# tshark -r tshark_packets -Y http.request -T laukai -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko1 Gecko/0 * Rezervacijos/styles/styles.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/code/jquery_lightbox/jquery_lightbox/js/jquery_lightbox/jquery_lightbox/js/jquery-1.2.2.0 jquery-1.7 .0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/styles/index.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64. 0 Gecko 1 Firefox1 57.0 /res/images/title.png

Tai labai įdomus įrankis, kuris patenka į tinklo kriminalistinės analizės įrankių kategoriją, o ne tik uostytojus. Teismo ekspertizės sritis paprastai yra tyrimų ir įrodymų rinkimas, o „Network Miner“ puikiai atlieka šį darbą. Kaip Wireshark gali sekti TCP srautą, kad atkurtų visą paketų perdavimo grandinę, Network Miner gali sekti srautą, kad atkurtų tinklu perkeltus failus.

„Network Miner“ gali būti strategiškai patalpintas tinkle, kad galėtumėte stebėti ir rinkti jus dominantį srautą realiuoju laiku. Jis negeneruos savo srauto tinkle, todėl veiks slaptai.

„Network Miner“ taip pat gali dirbti neprisijungus. Galite naudoti tcpdump rinkti paketus iš tinklo dominančio taško ir importuoti PCAP failus į Network Miner. Tada galite pabandyti atkurti visus įrašytame faile rastus failus ar sertifikatus.

„Network Miner“ sukurta „Windows“, tačiau naudojant „Mono“ jį galima paleisti bet kurioje OS, palaikančioje „Mono“ platformą, pvz., „Linux“ ir „MacOS“.

Yra nemokama versija, pradinio lygio, bet su tinkamu funkcijų rinkiniu. Jei jums reikia papildomų funkcijų, tokių kaip geografinė padėtis ir pasirinktiniai scenarijai, turėsite įsigyti profesionalią licenciją.

7 „Fiddler“ (HTTP)

Techniškai tai nėra tinklo paketų fiksavimo priemonė, tačiau ji tokia neįtikėtinai naudinga, kad yra šiame sąraše. Skirtingai nuo kitų čia išvardytų įrankių, skirtų tinklo srautui užfiksuoti iš bet kokio šaltinio, „Fiddler“ yra labiau derinimo įrankis. Jis fiksuoja HTTP srautą. Nors daugelis naršyklių jau turi šią galimybę savo kūrėjo įrankiuose, „Fiddler“ neapsiriboja naršyklės srautu. Fiddler gali užfiksuoti bet kokį HTTP srautą jūsų kompiuteryje, įskaitant ne žiniatinklio programas.

Daugelis darbalaukio programų naudoja HTTP, kad prisijungtų prie žiniatinklio paslaugų, ir, išskyrus „Fiddler“, vienintelis būdas užfiksuoti tokį srautą analizei yra naudoti tokius įrankius kaip tcpdump arba Wireshark. Tačiau jie veikia paketų lygiu, todėl analizei būtina šiuos paketus pakeisti į HTTP srautus. Atliekant paprastus tyrimus gali prireikti daug darbo, ir čia atsiranda Fiddler. Fiddler gali padėti aptikti slapukus, sertifikatus ir kitus naudingus programų siunčiamus duomenis.

„Fiddler“ yra nemokama ir, kaip ir „Network Miner“, gali būti paleista monofoniniu režimu beveik bet kurioje operacinėje sistemoje.

8 Capsa

„Capsa Network Analyzer“ turi keletą leidimų, kurių kiekvienas turi skirtingas galimybes. Pirmajame lygyje „Capsa“ yra nemokama ir iš esmės leidžia tiesiog užfiksuoti paketus ir atlikti pagrindinę grafinę jų analizę. Prietaisų skydelis yra unikalus ir gali padėti nepatyrusiam sistemos administratoriui greitai nustatyti tinklo problemas. Nemokama pakopa skirta žmonėms, norintiems daugiau sužinoti apie paketus ir patobulinti savo analizės įgūdžius.

Nemokama versija leidžia valdyti daugiau nei 300 protokolų, tinka stebėti el. paštą, taip pat išsaugoti el. laiškų turinį, taip pat palaiko trigerius, kuriuos galima panaudoti perspėjimams, kai susiklosto tam tikros situacijos. Šiuo atžvilgiu Capsa tam tikru mastu gali būti naudojama kaip pagalbinė priemonė.

„Capsa“ galima tik „Windows 2008/Vista/7/8“ ir „Windows 10“.

Išvada

Nesunku suprasti, kaip, naudodamas mūsų aprašytus įrankius, sistemos administratorius gali sukurti tinklo stebėjimo infrastruktūrą. Tcpdump arba Windump galima įdiegti visuose serveriuose. Planuoklis, pvz., cron arba Windows planuoklis, tinkamu metu pradeda paketų rinkimo sesiją ir įrašo surinktus duomenis į pcap failą. Tada sistemos administratorius gali nusiųsti šiuos paketus į centrinį įrenginį ir analizuoti juos naudodamas Wireshark. Jei tinklas tam per didelis, yra įmonės lygio įrankių, tokių kaip „SolarWinds“, kad visus tinklo paketus paverstų valdomu duomenų rinkiniu.

Skaitykite kitus straipsnius apie tinklo srauto perėmimą ir analizę :

  • Danas Nanni, „Linux“ tinklo srauto stebėjimo komandų eilutės priemonės
  • Paul Cobbaut, „Linux“ sistemų administracija. Tinklo srauto perėmimas
  • Paul Ferrill, 5 Linux tinklo stebėjimo įrankiai
  • Pankaj Tanwar, Paketų fiksavimas naudojant libpcap biblioteką
  • Riccardo Capecchi, naudojant Wireshark filtrus
  • Nathan Willis, tinklo analizė su Wireshark
  • Prashant Phatak,

Tinklo analizatoriai yra etaloniniai matavimo prietaisai kabeliams ir kabelių sistemoms diagnozuoti ir sertifikuoti. Jie gali labai tiksliai išmatuoti visus kabelių sistemų elektrinius parametrus ir taip pat veikti aukštesniuose protokolų krūvos lygiuose. Tinklo analizatoriai generuoja sinusoidinius signalus plačiame dažnių diapazone, todėl priimančiojoje poroje galima išmatuoti amplitudės-dažnio charakteristiką ir skersinį pokalbį, slopinimą ir bendrą slopinimą. Tinklo analizatorius yra didelis laboratorinis prietaisas, kurį gana sunku valdyti.

Daugelis gamintojų tinklo analizatorius papildo statistinės srauto analizės funkcijomis – segmentų panaudojimo rodikliu, transliacijos srauto lygiu, klaidingų kadrų procentu, taip pat protokolų analizatoriaus funkcijomis, kurios fiksuoja skirtingų protokolų paketus pagal filtro sąlygas ir iškoduoja paketus.

7.3.4. Kabelių skaitytuvai ir testeriai

Pagrindinis tikslas kabelių skaitytuvai - kabelių elektrinių ir mechaninių parametrų matavimas: kabelio ilgis, NEXT parametras, slopinimas, varža, laidų porų sujungimo schema, elektros triukšmo lygis kabelyje. Šiais įrenginiais atliekamų matavimų tikslumas yra mažesnis nei tinklo analizatorių, tačiau to visiškai pakanka norint įvertinti kabelio atitiktį standartui.

Laiko domeno reflektometrija (TDR) naudojama norint nustatyti kabelių sistemos gedimą (pertrauką, trumpąjį jungimą, netinkamą jungtį ir pan.). Šio metodo esmė yra ta, kad skaitytuvas skleidžia trumpą elektros impulsą į kabelį ir matuoja delsos laiką iki atsispindinčio signalo. Atsispindėjusio impulso poliškumas lemia kabelio pažeidimo pobūdį (trumpasis jungimas arba pertrauka). Tinkamai sumontuotame ir prijungtame kabelyje atspindėto impulso beveik nėra.

Atstumo matavimo tikslumas priklauso nuo to, kaip tiksliai žinomas elektromagnetinių bangų sklidimo greitis kabelyje. Skirtingiems kabeliams jis bus skirtingas. Elektromagnetinių bangų sklidimo greitis kabelyje (Nominal Velocity of Propagation, NVP) paprastai nustatomas kaip šviesos greičio vakuume procentas. Šiuolaikiniuose skaitytuvuose yra visų pagrindinių kabelių tipų NVP duomenų skaičiuoklė, leidžianti vartotojui pačiam nustatyti šiuos parametrus po išankstinio kalibravimo.

Kabelių skaitytuvai yra nešiojami įrenginiai, kuriuos techninės priežiūros darbuotojai gali visada nešiotis su savimi.

Kabelių testeriai- patys paprasčiausi ir pigiausi kabelių diagnostikos įrenginiai. Jie leidžia nustatyti kabelio tęstinumą, tačiau, skirtingai nei kabelių skaitytuvai, jie neduoda atsakymo į klausimą, kur įvyko gedimas.

7.3.5. Daugiafunkciniai nešiojamieji stebėjimo įrenginiai

Pastaruoju metu buvo gaminami daugiafunkciniai nešiojamieji įrenginiai, kurie apjungia kabelių skaitytuvų, protokolų analizatorių ir net kai kurias valdymo sistemų funkcijas, išlaikant tokią svarbią savybę kaip nešiojamumas. Daugiafunkciniai stebėjimo prietaisai turi tam skirtą fizinę sąsają, leidžiančią identifikuoti problemas ir testuoti kabelius fiziniame lygmenyje, kurią papildo mikroprocesorius su programine įranga aukšto lygio funkcijoms atlikti.

Panagrinėkime tipišką tokio įrenginio funkcijų ir savybių rinkinį, kuris yra labai naudingas diagnozuojant įvairių tinklo problemų, kylančių visuose protokolų krūvos lygiuose, nuo fizinio iki taikomosios programos, priežastis.

Vartotojo sąsaja

Prietaisas paprastai suteikia vartotojui patogią ir intuityvią sąsają, pagrįstą meniu sistema. Grafinė vartotojo sąsaja yra įdiegta kelių eilučių LCD ekrane ir LED būsenos indikatoriuose, kad praneštų vartotojui apie dažniausiai stebimas tinklo problemas. Yra daug užuominų operatoriui su lygiu

prieiga pagal kontekstą. Informacija apie tinklo būseną pateikiama taip, kad visų lygių naudotojai galėtų greitai ją suprasti.

Techninės įrangos ir kabelių testavimo funkcijos

Daugiafunkciai prietaisai sujungia dažniausiai naudojamas kabelių skaitytuvo funkcijas su daugybe naujų testavimo galimybių.

Kabelio nuskaitymas

Funkcija leidžia išmatuoti laido ilgį, atstumą iki rimčiausio defekto ir varžos pasiskirstymą per kabelio ilgį. Tikrinant neekranuotą vytos porą, gali būti aptiktos šios klaidos: padalijusios poros, lūžių, trumpųjų jungimų ir kitų tipų ryšio gedimų.

Eterneto tinkluose naudojant koaksialinį kabelį šiuos patikrinimus galima atlikti tiesioginiame tinkle.

Kabelių gyslų pasiskirstymo nustatymo funkcija Tikrina, ar tinkamai prijungtos gyslos, ar nėra tarpinių pertraukų ir jungčių ant vytos poros. Ekrane rodomas tarpusavyje sujungtų kontaktų grupių sąrašas.

Kabelinio žemėlapio aptikimo funkcija

Naudojamas pagrindinių kabelių ir kabelių, atsišakojančių nuo centrinės patalpos, atvaizdavimui.

Automatinis kabelio bandymas

Priklausomai nuo konfigūracijos, galima nustatyti ilgį, varžą, laidų jungtį, slopinimą ir NEXT parametrą iki 100 MHz dažniu. Automatinis patikrinimas atliekamas:

    bendraašiai kabeliai;

    ekranuota vytos poros, kurios varža 150 omų;

    neekranuotas vytos poros kabelis, kurio varža 100 omų.

DC tęstinumas

Ši funkcija naudojama bandant koaksialinius kabelius, siekiant patikrinti, ar naudojami tinkami gnybtai ir ar jie sumontuoti.

Vardinio sklidimo greičio nustatymas

Funkcija apskaičiuoja nominalų sklidimo greitį (NVP) per žinomo ilgio kabelį ir papildomai išsaugo rezultatus vartotojo nustatyto kabelio tipo arba standartinio kabelio faile.

Išsamus automatinis tinklo adapterio ir šakotuvo poros patikrinimas

Šis išsamus testas leidžia sujungti prietaisą tarp tinklo galo mazgo ir šakotuvo. Testas leidžia automatiškai nustatyti

bendrinkite gedimo šaltinio vietą – laidą, šakotuvą, tinklo adapterį ar stoties programinę įrangą.

Automatinis tinklo adapterių patikrinimas

Patikrina, ar naujai įdiegti arba „įtartini“ tinklo adapteriai veikia tinkamai. Ethernet tinklų atveju, remiantis bandymo rezultatais, pranešama: MAC adresas, signalo įtampos lygis (taip pat 10BASE-T ryšio testo impulsų buvimas ir poliškumas). Jei tinklo adapteryje signalas neaptinkamas, bandymas automatiškai nuskaito jungtį ir kabelį, kad būtų galima juos diagnozuoti.

Statistikos rinkimo funkcijos

Šios funkcijos leidžia realiu laiku sekti svarbiausių parametrų, charakterizuojančių tinklo segmentų „sveikatą“, pokyčius. Įvairių grupių statistika paprastai renkama skirtingu detalumo lygiu.

Tinklo statistika

Šioje grupėje pateikiama svarbiausia statistika – segmentų panaudojimas (panaudojimas), susidūrimų dažnis, klaidų lygis ir transliacijos srauto lygis. Jei šie rodikliai viršija tam tikras ribas, jie pirmiausia rodo problemas tinklo segmente, prie kurio prijungtas daugiafunkcis įrenginys.

Kadro klaidų statistika

Ši funkcija leidžia sekti visų tipų klaidingus tam tikros technologijos kadrus. Pavyzdžiui, Ethernet technologijai būdingi šie klaidingų kadrų tipai.

    Trumpi rėmeliai. Tai yra kadrai, kurių ilgis yra mažesnis nei leistinas, ty mažesnis nei 64 baitai. Kartais tokio tipo kadrai skirstomi į dvi klases – tiesiog trumpus kadrus (short), kurie turi teisingą kontrolinę sumą, ir „short“ (runts), kurie neturi teisingos kontrolinės sumos. Labiausiai tikėtinos stuburo rėmelių priežastys yra sugedę tinklo adapteriai ir jų tvarkyklės.

    Pailginti rėmeliai (Jabbers). Tai yra kadrai, kurie yra ilgesni už leistinus 1518 baitų su gera ar bloga kontroline suma. Išplėstiniai kadrai yra uždelsto perdavimo, atsirandančio dėl tinklo adapterio gedimų, rezultatas.

    Normalaus dydžio kadrai, bet su bloga kontroline suma (Bad FCS) ir kadrai su baitų lygiavimo klaidomis. Rėmeliai su neteisingomis kontrolinėmis sumomis yra daugelio dalykų rezultatas – blogų adapterių, kabelių triukšmo, blogų kontaktų, netinkamai veikiančių kartotuvų prievadų, tiltų, jungiklių ir maršrutizatorių. Lygiavimo klaidą visada lydi kontrolinės sumos klaida, todėl kai kurios srauto analizės priemonės jų neskiria. Lygiavimo klaida gali atsirasti dėl to, kad kadras nutrūksta, kai susidūrimą atpažįsta perdavimo adapteris.

    Vaiduoklių rėmeliai (vaiduokliai) yra kabelio elektromagnetinių trukdžių rezultatas. Tinklo adapteriai juos suvokia kaip kadrus, neturinčius įprasto kadro pradžios ženklo 10101011. Vaiduoklių kadrai yra ilgesni nei 72 baitai, kitu atveju jie priskiriami nuotoliniams susidūrimams. Aptiktų vaiduokliškų kadrų skaičius labai priklauso nuo tinklo analizatoriaus prijungimo taško. Jas sukelia įžeminimo kilpos ir kitos kabelių problemos.

Žinant viso klaidingų kadrų skaičiaus procentinį pasiskirstymą pagal jų tipus, administratorius gali daug pasakyti apie galimas tinklo problemų priežastis. Net ir nedidelė dalis klaidingų kadrų gali žymiai sumažinti naudingą tinklo pralaidumą, jei protokolai, atkuriantys sugadintus kadrus, veikia su dideliais patvirtinimo skirtaisiais laikotarpiais. Manoma, kad normaliai veikiančiame tinkle kadrų klaidų procentas neturėtų viršyti 0,01%, tai yra, ne daugiau kaip 1 kadro klaida iš 10 000.

susidūrimų statistika.

Šioje charakteristikų grupėje pateikiama informacija apie tinklo segmente pažymėtų susidūrimų skaičių ir tipus bei leidžia nustatyti problemos buvimą ir vietą. Protokolo analizatoriai paprastai negali pateikti diferencijuoto bendro susidūrimų skaičiaus pasiskirstymo pagal atskirus tipus vaizdo, o vyraujančio susidūrimų tipo žinojimas gali padėti suprasti prasto tinklo veikimo priežastį.

Toliau pateikiami pagrindiniai Ethernet tinklo susidūrimų tipai.

    Vietinis susidūrimas (Local Collision). Tai yra dviejų ar daugiau mazgų, priklausančių segmentui, kuriame atliekami matavimai, perdavimo vienu metu rezultatas. Jei daugiafunkcis įrenginys negeneruoja kadrų, tai vietiniai susidūrimai neįrašomi vytos poros ar šviesolaidiniame tinkle. Per didelis vietinių susidūrimų lygis yra kabelių sistemos problemų pasekmė.

    Nuotolinis susidūrimas (Remote Collision). Šie susidūrimai įvyksta kitoje kartotuvo pusėje (atsižvelgiant į segmentą, kuriame sumontuotas skaitiklis). Tinkluose, sukurtuose ant kelių prievadų kartotuvų (10Base-T, 10Base-FL/FB, 100Base-TX/FX/T4, Gigabit Ethernet), visi išmatuoti susidūrimai yra nuotoliniai (išskyrus tuos atvejus, kai analizatorius pats generuoja kadrus ir gali būti susidūrimo kaltininkas ). Ne visi protokolų analizatoriai ir stebėjimo įrankiai nuotolinius susidūrimus fiksuoja vienodai. Taip yra dėl to, kad kai kurios matavimo priemonės ir sistemos nefiksuoja susidūrimų, kurie įvyksta perduodant preambulę.

    Vėlyvas susidūrimas (Late Collision). Tai susidūrimas, kuris įvyksta perdavus pirmuosius 64 kadro baitus (Ethernet protokolas turi aptikti susidūrimą, kai perduodami pirmieji 64 kadro baitai). Vėlyvas susidūrimas sukels kadrą, kuris yra ilgesnis nei 64 baitai ir kuriame yra neteisinga kontrolinės sumos reikšmė. Dažniausiai tai rodo, kad tinklo adapteris, kuris yra konflikto šaltinis, negali tinkamai klausytis linijos ir todėl negali laiku sustabdyti perdavimo. Kita vėlyvojo susidūrimo priežastis yra per daug kabelių arba per daug tarpinių kartotuvų, dėl kurių viršijamas maksimalus kelionės pirmyn ir atgal laikas. Vidutinis susidūrimų intensyvumas normaliai veikiančiame tinkle turėtų būti mažesnis nei 5%. Dideli spygliai (daugiau nei 20 %) gali rodyti kabelių problemas.

Naudotų tinklo protokolų platinimas

Ši statistinė grupė priklauso tinklo lygmens protokolams. Ekrane rodomas pagrindinių protokolų sąrašas mažėjančia tvarka, atsižvelgiant į kadrų, kuriuose yra šio protokolo paketų, procentą nuo bendro tinkle esančių kadrų skaičiaus.

Geriausi siuntėjai

Ši funkcija leidžia sekti aktyviausius vietinio tinklo perdavimo mazgus. Įrenginį galima sukonfigūruoti taip, kad jis filtruotų pagal vieną adresą ir atskleistų pagrindinių tam tikros stoties kadrų siuntėjų sąrašą. Duomenys rodomi kaip diagrama kartu su pagrindinių kadrų siuntėjų sąrašu.

Populiariausi imtuvai

Ši funkcija leidžia stebėti aktyviausius tinklo priėmimo mazgus. Informacija rodoma taip pat, kaip ir aukščiau.

Populiariausi transliacijų srauto generatoriai (populiariausi transliuotojai)

Ši funkcija aptinka tinklo stotis, kurios generuoja kadrus su transliavimo ir daugialypės siuntimo adresais labiau nei kitos.

Eismo generavimas

Prietaisas gali generuoti srautą, kad patikrintų tinklo veikimą esant didelei apkrovai. Srautas gali būti generuojamas lygiagrečiai su įjungtomis funkcijomis Tinklo statistika, klaidingų kadrų statistika Ir Susidūrimų statistika.

Vartotojas gali nustatyti generuojamo srauto parametrus, tokius kaip intensyvumas ir kadro dydis. Tiltų ir maršrutizatorių testavimui prietaisas gali automatiškai generuoti IP ir IPX paketų antraštes, o iš operatoriaus tereikia įvesti šaltinio ir paskirties adresus.

Bandymo metu vartotojas gali padidinti dydį ir kadrų dažnį, naudodamas žymeklio klavišus. Tai ypač naudinga ieškant tinklo veikimo problemų ir gedimo sąlygų šaltinio.

Protokolo analizės funkcijos

Paprastai nešiojamieji daugiafunkciai instrumentai palaiko tik pagrindinių LAN protokolų, tokių kaip TCP/IP kamino protokolai, Novell NetWare, NetBIOS ir Banyan VINES, dekodavimą ir analizavimą.

Kai kurie MFP neturi galimybės iššifruoti užfiksuotų paketų, kaip tai daro protokolų analizatoriai, ir vietoj to renka statistiką apie svarbiausius paketus, nurodančius tinklo problemas. Pavyzdžiui, analizuojant TCP / IP kamino protokolus, renkama statistika apie ICMP protokolų paketus, kurių pagalba maršrutizatoriai informuoja galinius mazgus apie įvairių rūšių klaidas. Norint rankiniu būdu patikrinti tinklo mazgų pasiekiamumą, įrenginiuose palaikoma IP Ping paslaugų programa, taip pat panašios paskirties NetWare Ping ir NetBIOS Ping paslaugos.

Srauto analizė – tai procesas, kurio svarbą žino bet kuris IT specialistas, nesvarbu, ar jis dirba mažoje įmonėje, ar didelėje korporacijoje. Juk tinklo problemų nustatymas ir taisymas yra tikras menas, kuris tiesiogiai priklauso ir nuo paties specialisto instinkto, ir nuo jo operuojamų duomenų gylio ir kokybės. O srauto analizatorius yra būtent tas įrankis, kuris jums pateikia šiuos duomenis. Išmintingai parinktas tinklo srauto analizės sprendimas gali ne tik padėti išsiaiškinti, kaip paketai siunčiami, gaunami ir kaip saugiai jie keliauja per tinklą, bet ir gali padaryti daug, daug daugiau!

Dabar rinkoje yra daugybė programinės įrangos variantų, skirtų tinklo srautui analizuoti. Be to, kai kurie iš jų „senosios mokyklos“ specialistams gali sukelti nostalgiškus prisiminimus; jie naudoja terminalo šriftą ir komandų eilutės sąsają ir iš pirmo žvilgsnio atrodo, kad jais sunku naudotis. Kiti sprendimai, priešingai, išsiskiria savo įrengimo paprastumu ir yra orientuoti į auditoriją, turinčią vizualinį suvokimą (jie tiesiogine prasme yra persotinti įvairia grafika). Šių sprendimų kainų diapazonas taip pat labai įvairus – nuo ​​nemokamų iki sprendimų su labai brangia įmonės licencija.

Kad jūs, atsižvelgdami į jūsų užduotis ir pageidavimus, galėtumėte pasirinkti geriausią tinklo srauto analizės sprendimą, pateikiame jums įdomiausių šiuo metu rinkoje esančių srauto analizės programinės įrangos produktų sąrašą bei trumpą apžvalgą. jose įdiegtos funkcijos, skirtos įvairios tinklo informacijos ištraukimui, apdorojimui ir vizualiniam pateikimui. Kai kurios iš šių funkcijų yra panašios visiems šioje apžvalgoje pateiktiems tinklo srauto analizės sprendimams – jos leidžia matyti išsiųstus ir gautus tinklo paketus su vienokiu ar kitokiu detalumo lygiu – tačiau beveik visos turi tam tikrų būdingų savybių, dėl kurių naudojant jie yra unikalūs. tam tikrose situacijose ar tinklo aplinkoje. Galų gale, mes kreipiamės į tinklo srauto analizę, kai turime tinklo problemą, tačiau negalime greitai susiaurinti jos iki konkretaus įrenginio, įrenginio ar protokolo, todėl turime ieškoti giliau. Padėsime išsirinkti šiems tikslams tinkamiausią srauto analizės programinės įrangos sprendimą.

„SolarWinds“ tinklo pralaidumo analizatorius

Šį sprendimą gamintojas pozicionuoja kaip dviejų produktų – Network Performance Monitor (bazinis sprendimas) ir NetFlow Traffic Analyzer (modulinis plėtinys) – programinės įrangos paketą. Kaip minėta, jie turi panašias, bet vis tiek skirtingas tinklo srauto analizės funkcijas, kurios papildo viena kitą, kai abu produktai naudojami vienu metu.

Tinklo našumo monitorius, kaip rodo pavadinimas, stebi tinklo našumą ir yra viliojantis pasirinkimas, jei norite susidaryti bendrą vaizdą apie tai, kas vyksta jūsų tinkle. Įsigydami šį sprendimą mokate už galimybę stebėti bendrą tinklo būklę: remdamiesi didžiuliu statistinių duomenų kiekiu, pvz., duomenų ir paketų perdavimo greičiu ir patikimumu, daugeliu atvejų galėsite greitai identifikuoti problemų jūsų tinkle. O pažangios programos intelektinės galimybės identifikuoti galimas problemas ir plačios galimybės vizualiai pateikti rezultatus lentelių ir grafikų pavidalu su aiškiais įspėjimais apie galimas problemas šį darbą dar labiau palengvins.

Modulinis „NetFlow Traffic Analyzer“ plėtinys yra labiau orientuotas į paties srauto analizę. Nors pagrindinės Network Performance Monitor programinės įrangos sprendimo funkcionalumas yra labiau orientuotas į bendrą tinklo našumo idėją, NetFlow Traffic Analyzer daugiausia dėmesio skiria detalesnei tinkle vykstančių procesų analizei. Visų pirma, ši programinės įrangos paketo dalis analizuos dažnių juostos pločio perkrovas arba nenormalias serijas ir pateiks statistiką, surūšiuotą pagal vartotoją, protokolą ar programą. Atminkite, kad ši programa galima tik „Windows“ aplinkoje.

Wireshark

Tai gana naujas įrankis didelėje tinklo diagnostikos sprendimų šeimoje, tačiau per šį laiką jau spėjo sulaukti IT specialistų pripažinimo ir pagarbos. Kalbant apie srauto analizę, „WireShark“ puikiai atlieka savo darbą už jus. Kūrėjai sugebėjo rasti vidurį tarp pirminių duomenų ir vizualaus šių duomenų atvaizdavimo, todėl WireShark nerasite iškraipymų viena ar kita kryptimi, ką nusideda dauguma kitų tinklo srauto analizės sprendimų. „WireShark“ yra paprastas, suderinamas ir nešiojamas. Naudodami „WireShark“ gausite būtent tai, ko tikitės, ir gausite tai greitai.

„WireShark“ turi puikią vartotojo sąsają, daugybę filtravimo ir rūšiavimo parinkčių, o tai, ką daugelis iš mūsų įvertins, „WireShark“ srauto analizė puikiai veikia su bet kuria iš trijų populiariausių operacinių sistemų šeimų – *NIX, Windows ir macOS. Prie viso to, kas išdėstyta pirmiau, pridėkite faktą, kad „WireShark“ yra atvirojo kodo ir nemokama, ir turėsite puikų įrankį greitai diagnozuoti tinklą.

tcpdump

Tcpdump srauto analizatorius atrodo kaip senovinis įrankis ir, tiesą sakant, funkcionalumo požiūriu jis taip pat veikia. Nepaisant to, kad jis susidoroja su savo darbu ir atlieka jį gerai bei tam naudodamas kuo mažiau sistemos resursų, daugeliui šiuolaikinių specialistų bus sunku suprasti didžiulį „sausų“ duomenų lentelių skaičių. Tačiau gyvenime pasitaiko situacijų, kai gali būti naudingi tokie atkirsti ir resursams nepretenzingi sprendimai. Kai kuriose aplinkose arba vos veikiančiuose kompiuteriuose minimalizmas gali būti vienintelis tinkamas pasirinkimas.

Programinės įrangos sprendimas tcpdump iš pradžių buvo sukurtas *NIX aplinkai, tačiau dabar jis taip pat veikia su keliais Windows prievadais. Jame yra visos pagrindinės funkcijos, kurių tikitės iš bet kurio srauto analizatoriaus – fiksavimas, įrašymas ir pan. – tačiau nesitikėk iš jo daug daugiau.

Kismet

„Kismet Traffic Analyzer“ yra dar vienas atvirojo kodo programinės įrangos, pritaikytos konkretiems poreikiams, pavyzdys. „Kismet“ ne tik analizuoja tinklo srautą, bet ir suteikia daug pažangesnių funkcijų. Pavyzdžiui, jis gali analizuoti paslėptų tinklų ir net belaidžių tinklų, kurie netransliuoja savo SSID, srautą! Toks srauto analizės įrankis gali būti labai naudingas, kai belaidžiame tinkle yra kažkas, kas sukelia problemų, bet negalite greitai rasti to šaltinio. Kismet padės aptikti nesąžiningą tinklą arba prieigos tašką, kuris veikia, bet ne visai tinkamas.

Daugelis iš mūsų iš pirmų lūpų žino, kad belaidžio tinklo srauto analizės užduotis tampa sudėtingesnė, todėl turėti specializuotą įrankį, pvz., Kismet, ne tik pageidautina, bet dažnai ir būtina. „Kismet Traffic Analyzer“ yra puikus pasirinkimas, jei nuolat susiduriate su dideliu belaidžiu srautu ir belaidžiais įrenginiais ir jums reikia gero belaidžio srauto analizės įrankio. „Kismet“ galima naudoti *NIX, „Windows“ pagal Cygwin ir „macOS“ aplinkas.

EtherApe

„EtherApe“ yra artimas „WireShark“ funkcionalumui, be to, tai nemokama atvirojo kodo programinė įranga. Tačiau tai, kas iš tikrųjų išskiria jį iš kitų sprendimų, yra dėmesys grafikai. Ir jei, pavyzdžiui, peržiūrite „WireShark“ srauto analizės rezultatus klasikine skaitmenine forma, „EtherApe“ tinklo srautas rodomas naudojant pažangią grafinę sąsają, kur kiekviena grafo viršūnė reiškia atskirą pagrindinį kompiuterį, o viršūnių ir briaunų dydžiai rodomi. tinklo srauto dydis, o spalvos pažymėtos įvairiais protokolais. Tiems, kurie teikia pirmenybę vizualiniam statistinės informacijos suvokimui, EtherApe analizatorius gali būti geriausias pasirinkimas. Galima naudoti *NIX ir macOS aplinkoje.

Kainas ir Abelis

Šioje programinėje įrangoje su labai įdomiu pavadinimu galimybė analizuoti srautą yra labiau pagalbinė nei pagrindinė funkcija. Jei jūsų užduotys yra daug daugiau nei paprasta srauto analizė, turėtumėte atkreipti dėmesį į šį įrankį. Su juo galite atkurti „Windows“ OS slaptažodžius, vykdyti atakas, kad gautumėte prarastus kredencialus, tirti VoIP duomenis tinkle, analizuoti paketų nukreipimą ir dar daugiau. Tai tikrai galingas įrankių rinkinys, skirtas sistemos administratoriui, turinčiam plačias galias. Veikia tik Windows aplinkoje.

tinklo kasykla

„NetworkMiner“ sprendimas yra dar vienas programinės įrangos sprendimas, kurio funkcionalumas viršija įprastą srauto analizę. Nors kiti srauto analizatoriai sutelkia dėmesį į paketų siuntimą ir gavimą, „NetworkMiner“ stebi tuos, kurie tiesiogiai siunčia ir gauna šiuos paketus. Šis įrankis labiau tinka probleminiams kompiuteriams ar vartotojams nustatyti, o ne bendrajai diagnostikai ar tinklo stebėjimui. tinklo kasykla sukurta OS Windows.

KisMAC

KisMAC – šio programinės įrangos produkto pavadinimas kalba pats už save – tai „Kismet“, skirta macOS. Šiomis dienomis „Kismet“ jau turi prievadą „macOS“ operacinei aplinkai, todėl KisMAC egzistavimas gali atrodyti perteklinis, tačiau verta atkreipti dėmesį į tai, kad „KisMAC“ sprendimas iš tikrųjų turi savo kodų bazę ir nėra tiesiogiai kilęs iš „Kismet“ srauto. analizatorius. Ypač verta paminėti, kad „KisMAC“ siūlo kai kurias funkcijas, tokias kaip vietos žemėlapių sudarymas ir „macOS“ autentifikavimo panaikinimo ataka, kurių „Kismet“ pati nesuteikia. Šios unikalios savybės tam tikrose situacijose gali persverti svarstykles šio konkretaus programinės įrangos sprendimo naudai.

Išvada

Tinklo srauto analizės programinė įranga gali būti gyvybiškai svarbi priemonė, kai periodiškai susiduriate su įvairiomis tinklo problemomis, nesvarbu, ar tai našumas, nutrūkę ryšiai ar su tinklo atsarginėmis kopijomis susijusios problemos. Praktiškai viską, kas susiję su duomenų siuntimu ir gavimu tinkle, galima greitai atpažinti ir ištaisyti dėl informacijos, gautos naudojant programinę įrangą iš aukščiau esančio sąrašo.

Rezultatai, kuriuos pateiks kokybinė tinklo srauto analizė naudojant patikrintus specializuotus programinės įrangos įrankius, padės giliau įsiskverbti į viršutinį problemos sluoksnį ir suprasti, kas iš tikrųjų vyksta jūsų tinkle arba nevyksta, bet turėtų vykti. .

Prenumeruokite naujienlaiškį, dalinkitės straipsniais socialiniuose tinkluose ir užduokite klausimus komentaruose!

Visada bendrauji, Igoris Panovas.