Ağ trafiği analizörleri: ücretli ve ücretsiz çözümlere genel bakış. Ağ analizörleri İnternet protokolü analizörü makalesi

METROSCOPE™ Ethernet Ağ Analizörü

Şirket Fluke Ağları, güncellenmiş bir Ethernet ağ analizörü sunar - metroskop.

MetroScope Analyzer, Ethernet bağlantıları üzerinden sağlanan erişim ve hizmetlerin kalitesini test etmek ve belgelemek için tasarlanmıştır.

Cihaz hem yeni bağlantıları nitelendirmek hem de mevcut olanlarla ilgili sorunları çözmek için kullanılır. Bu sorunları çözmek için kullanılan testler: hatalı BERT hata bitlerinin sayısının belirlenmesi, RFC 2544 tarafından önerilen testler ve yeni orijinal test metodolojisi ProVision™. Bu testlerin ve yöntemlerin kombinasyonu, sağlayıcıların ve kurumsal istemcilerin Ethernet kanallarının performansını ölçmenize, ağ çalışmasını denetlemenize ve izlemenize ve önemli hizmetlerin - sunucular (HTTP, DNS, Mail, vb.), VoIP, IPTV.

Tüm test sonuçları, hem şirket içi doküman akışında hem de yeni iletişim kanalları için devreye alma sertifikalarına ek olarak kullanılmak üzere şirket logosu ile kaydedilebilir ve yazdırılabilir.

Fonksiyonel özellikler:

ProVision™ Test Paketi - Gelişmiş Taşıyıcı Ethernet Bağlantı Testi
RFC2544'e göre testler
MOS ölçüm fonksiyonlu entegre VoIP SIP telefonu
IPTV desteği için temel kanal testi
Farklı sanal kanallar için ve farklı yönlerde farklı önceliklere sahip çok kanallı testler.
40ns hassasiyetle titreşim ölçümü
Bit hata oranı test cihazı (BERT testleri)
Yığın VLAN'ların Kodunu Çözme ve Görüntüleme (QinQ) - Çift Etiketleme
VLAN numarasına göre filtreleme yeteneği
Sunucu yanıt süresini ölçmek için araçlar (HTTP, DNS, Mail, vb.)
Aktif ekipmanın yanıtını değerlendirmek için CRC hataları olan paketlerin üretilmesi
802.3ah cihazları için destek
802.11a/b/g kablosuz ağ testi
Mikrosaniye hassasiyetinde titreşim ölçümü
Test sonucu Başarılı / Başarısız tüm testler için
Kullanıcı tarafından yapılandırılabilen test limitleriyle test raporlama ve test komut dosyası oluşturma yetenekleri
Her boyutta çerçeve uzunluğunu seçebilme (2048 bayta kadar)
Raporlar, kullanıcı yorumlarını, şirket logosunu, cihaz ayarlarını, rota izlemeyi içerir
Uzak/Ayna/Döngü modunda çalışma:

İkinci MetroSkop
LinkReflector Uzaktan Test Cihazı
Döngü tabanlı aktif ekipman portu
Fluke Networks Görsel UpTime Select Probu
802.3ah cihazı

Entegre ağ cihazı yönetimi (telnet, terminal emülasyonu, FTP ve web tarayıcısı)
Hem kablolu (bakır ve fiber) hem de kablosuz 802.11 ağlarını test etme

Test yöntemlerinin karşılaştırılması:RFC 2544 VSKarşılık

Karşılık kanalları test etmek için tasarlanmış test MetroEthernet laboratuvar koşullarında değil, gerçek koşullarda, RFC 2544 yöntemine göre günümüzde kullanılan testlere göre bir takım avantajlara sahiptir.

RFC 2544 testleri sırayla yürütülür, yani. birbiri ardına, ProVision'ı kullanırken aynı anda çalışırlar. Bu sadece zamandan tasarruf sağlamakla kalmaz, aynı zamanda çıktı ölçümü sırasında kanaldaki gecikmeyle ilişkili hatayı da önler.
ProVision, xDSL'de kullanılan asimetrik bağlantıları test etmek için yapılandırılabilir.
ProVision, aynı anda birden fazla akışla birden fazla kanalı test edebilir (Multistream seçeneği).
RFC 2544 test sonuçları genellikle tek tek görüntülenir, ancak ProVision testlerinde sonuçlar tek bir ekranda görüntülenir.
Alınan verilerin genel olarak düşük, yüksek ve ortalama analizine ek olarak, ProVision'ın yardımıyla trendler oluşturabilir ve bunları gerçek zamanlı olarak analiz edebiliriz.

	RFC2 544	ProVision™
Bant genişliği (kayıpsız)
Bant genişliği (kayıplı)
Asimetrik kanalların bant genişliği
Gecikme



Gecikme
Gecikme Değişimi	Evet (genellikle mevcuttur)
Tüm testlerin eşzamanlı kurulumu
Çoklu Konular
Farklı parametrelerin sonuçlarını görüntüleme
Sonuçları birden çok iş parçacığında görüntüle
Eşzamanlı ölçümler
Canlı sonuçlar
trend

IPTV desteği için kanal testi

MetroScope yerleşik trafik oluşturucuyu kullanarak çok noktaya yayın trafiği oluşturma yeteneğine sahiptir. Yeni "çok noktaya yayın uygulaması", bir grup cihaza bağlanmanıza ve yanıt süresini kontrol etmenize olanak tanır.

Kalite izleme ve analizVoIP

yeni sürümde MetroScope Bir VoIP test işlevi mevcuttur (isteğe bağlı), şunları yapmanızı sağlar:

enstrümandan başka bir IP telefona arama yapmak
önceden hazırlanmış bir WAV dosyasını oynatın
bir grafik görüntüleme yeteneği ile trafik oluşturun ve arama yapın 1 saniyeye kadar doğru konuşma kalitesini (MOS, R-Factor, Packet Loss, Delay Variation), çağrı süresini ve iletilen çerçeve sayısını gösteren .

Otomatik ağ testi ve envanter.

Yerel bir ağa bağlanıldığında Metrolar başa çıkmak otomatik keşif prosedürünü başlatır (1000 cihaza kadar). Cihaz, IP adresleri, alt ağ maskeleri, etki alanı denetleyicileri vb. aralığı hakkında bilgi görüntüler. Bulunan tüm ağ cihazları, IP, VLAN, IPX veya NetBIOS ağlarına ait olmalarına göre bir tabloda gruplandırılır. Arama işlevi, cihazları IP adresi, ad veya MAC adresine göre bulmanızı sağlar.

Sunucu Yanıt Süresinin Ölçülmesi

Bu işlev, Mail, DNS, FTP veya WWW gibi uygulamaların TCP bağlantı noktalarının yanıt süresini ölçmenizi sağlar. Uygulama bağlantı noktaları, güvenlik duvarları ve düşük ICMP protokol önceliği gibi PING komutunun önündeki engelleri ortadan kaldıran istemci modunda test edilir. Uygulama bağlantı noktası yanıtları, tüm rota boyunca performans düşüşünün tam yerini saptamak için yerleşik Rotayı İzleme özelliği kullanılarak analiz edilebilir.

Ağ izlemeVLAN

analizörde MetroScope ağ sorunlarını gidermeyi hızlandırmak için birçok özellik uygulanmıştır. Bunlar, yüklerini izlemenize ve ayrıca anahtarların ve diğer ağ cihazlarının yapılandırmasındaki hataları bulmanıza olanak tanıyan VLAN bulma ve izleme özelliklerini içerir.

Kablosuz ağların analiziWi- fi (802.11 a/ b/ g)

Güncellenmiş analizörde MetroScope Artık Wi-Fi ağ testi seçeneği mevcuttur ve bunun yardımıyla cihaz, bulunan tüm kablosuz cihazların sinyal seviyesi, sinyal-gürültü oranı, kanal tıkanıklığı ve güvenlik ayarları hakkında bilgi alır.
Cihaz, tüm erişim noktalarının ve kablosuz istemcilerin sayısını, konumunu ve ayarlarını belirler.

LAN Fiziksel Katman Testi

Ayrıca, analizör MetroScope fiber ve bakır kablo hatlarını fiziksel düzeyde test etmenizi sağlar.
Fiber optik hatları test ederken, optik sinyalin giriş ve çıkış gücünün yanı sıra sıcaklık, lazer önyargı akımı ve alıcı-verici besleme voltajı izlenir.
Bakır UTP kablolarının teşhisi söz konusu olduğunda, cihaz kablodaki hatayı bulur (dahili OTDR kullanarak), kablolarını çizer ve kablo izleme için kullanılan bir ton sinyali üretir (IntelliTone Pro veya PRO3000 endüktif prob kullanarak)

sete MTSCOPE-KİTİbunlara ek olarak ikinci bir MetroScope kullanmadan fiziksel, bağlantı ve ağ seviyelerinde ağ yollarının uçtan uca testini gerçekleştirmenize izin veren ucuz bir LinkRunner DUO CE ağ test cihazı içerir.
Birden fazla ağ bağlantısını test etmek için bir analizör MetroScope sınırsız sayıda cihazla etkileşime girebilir LinkRunner İKİLİ CE yalnızca trafiği "yansıtmakla kalmayıp" kendileri de güçlü teşhis araçları olan .

MetroScope analizör modellerinin karşılaştırılması

* Cihaz Bulma, Ağ Bulma, VLAN Bulma, En Yakın Anahtar, Anahtarla Tarama, Anahtar Aygıtlar, Sorun Algılama dahil

** Test, PHY geri döngü modunda yapılabilir veya bir LinkReflector, ikinci bir MetroScope analizörü veya 802.3ah özellikli bir cihaz olabilir

satıcı kodu	Katalog kodu	İsim
MTSCOPE-KİTİ	MTSCOPE-KİTİ	MetroScope SPA Kiti
MTSCOPE	MTSCOPE	MetroScope SPA Ağ Analizörü
LRPRO YANSIMA	LRPRO YANSIMA	LinkReflector Uzaktan Test Cihazı
LRPRO ASLAN	LRPRO ASLAN	LinkReflec için Li-Ion Pil Paketi
ES2-SX	ES2-SX	1000BASE-SX gigabit fiber optik alıcı-verici
ES2-ZX	ES2-ZX	1000BASE-ZX gigabit fiber optik alıcı-verici
ES2-LX	ES2-LX	1000BASE-LX gigabit fiber optik alıcı-verici
MS-SX	MS-SX	MS-SX, fiber optik alıcı-verici SFP, DDM, GI
ES AKÜ	ES AKÜ	Yedek pil
ES-BATT-CHG	ES-BATT-CHG	Harici pil şarj cihazı
MS-OTOMATİK-CHG	MS-OTOMATİK-CHG	Çakmakla Çalışan Şarj Cihazı
OPVS-KB		USB mini klavye
944806	944806	Boş modem kablosu (DB9)
DTX-ACUN	DTX-ACUN	Güç kaynağı, evrensel

Bazı durumlarda, bir düğümün ağ yığınının ve ağ bölümlerinin işleyişindeki sorunları tespit etmek için ağ trafiği analizi kullanılır. Ağın çalışmasını iletilen çerçeveler, ağ paketleri, ağ bağlantıları, datagramlar ve uygulama protokolleri düzeyinde görüntülemenize (dinlemenize) ve analiz etmenize izin veren araçlar vardır..

Bağlı olarak tanılama durumları, hem ağ trafiğinin dinlediği ana bilgisayarın trafiği hem de ağ segmenti, yönlendirici bağlantı noktası vb. trafiği mevcut olabilir.. Trafiği yakalamaya yönelik gelişmiş yetenekler şunlara dayanmaktadır: "rastgele" mod ağ bağdaştırıcısı işlemi: tüm çerçeveler işlenir (normal işlemde olduğu gibi yalnızca bu MAC adresi ve yayını için hedeflenenler değil).

Bir Ethernet ağında, trafiği dinlemenin aşağıdaki ana özellikleri vardır:

Hub tabanlı bir ağda, tüm çakışma etki alanı trafiği herhangi bir ağ istasyonu tarafından kullanılabilir..
Bir ağ istasyonunun anahtarlarına dayalı ağlarda, bu segmentin tüm yayın trafiğinin yanı sıra trafiği de mevcuttur..
Bazı yönetilen anahtarlar, bu bağlantı noktasının trafiğini izleme bağlantı noktasına kopyalama işlevine sahiptir.("yansıtma", bağlantı noktası izleme).
Ağ bağlantısının kesilmesine dahil olan özel araçların (tappers) kullanılması ve bağlantı trafiğinin ayrı bir bağlantı noktasına iletilmesi.
Hub ile "hile"- Monitör düğümü de hub'a bağlanarak trafiğinin dinlenmesi gereken anahtar bağlantı noktası hub üzerinden açılır (bu durumda çoğu durumda ağ bağlantısının performansı düşer).

programlar var ağ monitörleri veya analizörleri, sniffer), ağ trafiğini dinleme (karmaşık mod dahil), görüntüleme veya bir dosyaya yazma işlevini uygulayan . Ek olarak, analiz yazılımı trafiği kurallara dayalı olarak filtreleyebilir, protokollerin kodunu çözebilir (şifresini çözebilir), istatistikleri okuyabilir ve bazı sorunları teşhis edebilir.

Not: Ağ trafiğini analiz etmek için iyi bir temel araç seçimi grafik ortamıücretsiz bir pakettir tel köpekbalığı[43] Windows için ve bazı Linux dağıtımlarının depolarında mevcuttur.

tcpdump yardımcı programı

tcpdump konsol yardımcı programı çoğu Unix sisteminde bulunur ve ağ trafiğini yakalamanıza ve görüntülemenize olanak tanır [44]. Yardımcı program, ağ trafiğini yakalamak için taşınabilir bir C/C++ kitaplığı olan libpcap kullanır.

Debian'a tcpdump kurmak için şu komutu kullanabilirsiniz:

# apt-get install tcpdump

Bu yardımcı programı çalıştırmak için izinleriniz olmalıdır. süper kullanıcı(özellikle, ağ bağdaştırıcısını "rastgele" moda aktarma ihtiyacı nedeniyle). Genel olarak, komut formatı aşağıdaki gibidir:

tcpdump<опции> <фильтр-выражение>

Konsol çıkışı için başlık açıklaması(şifresi çözülen veriler), trafik analizi için arabirimi belirtmelisiniz (seçenek -i ):

# tcpdump -i eth0

IP adreslerinin alan adlarına dönüştürülmesini devre dışı bırakabilirsiniz (büyük miktarda trafik DNS sunucusuna çok sayıda istek oluşturduğundan) - seçenek -n:

# tcpdump -n -i eth0

Bağlantı katmanı verilerini (örneğin, mac adresleri vb.) görüntülemek için - seçenek -e :

# tcpdump -en -i eth0

Ek bilgileri yazdırın (ör. TTL , IP seçenekleri) - seçenek -v :

# tcpdump -ven -i eth0

Yakalanan paketlerin boyutunu artırma (varsayılan olarak 68 bayttan büyük) - boyutu belirten seçenek -s (-s 0 - tüm paketleri yakalayın):

Dosyaya yaz (doğrudan paketler - "döküm") - dosya adıyla -w seçeneği:

# tcpdump -w traf.dump

Bir dosyadan paketleri okuma - seçenek - r dosya adıyla:

# tcpdump -r traf.dump

Varsayılan olarak, tcpdump karışık modda çalışır. -p anahtarı, tcpdump'a yalnızca bu ana bilgisayar için hedeflenen trafiği yakalamasını söyler.

tcpdump'ın filtre seçenekleri ve formatı hakkında daha fazla bilgi için başvuru kılavuzuna bakın (man tcpdump ).

Trafiği tcpdump kullanarak ağ arabirimi düzeyinde ve ağ düzeyinde analiz edin

Ethernet çerçevelerini seçmek için aşağıdaki tcpdump yapıları kullanılır (genel görünüm):

tcpdump ether (src | dst | ana bilgisayar) MAC_ADDRESS

src, kaynak MAC adresidir, dst- Hedef MAC adresi, ana bilgisayar - kaynak veya dst, ayrıca yayın trafiğini vurgulamak için.

Orijinal: En iyi 8 paket dinleyicisi ve ağ analizörü
Yazar: Jon Watson
Yayın tarihi: 22 Kasım 2017
Tercüme: A. Krivoshey
Transfer tarihi: Aralık 2017

Paket koklama, ağ trafiğini koklama sanatına atıfta bulunan, konuşma dilinde kullanılan bir terimdir. Popüler inanışın aksine, e-postalar ve web sayfaları gibi şeyler internetten tek parça halinde geçmez. Binlerce küçük veri paketine bölünürler ve böylece internet üzerinden gönderilirler. Bu yazıda, en iyi ücretsiz ağ analizörlerine ve paket dinleyicilerine bir göz atacağız.

Ağ trafiğini toplayan birçok yardımcı program vardır ve bunların çoğu çekirdek olarak pcap (Unix benzeri sistemlerde) veya libcap (Windows'ta) kullanır. Başka bir yardımcı program türü, bu verilerin analiz edilmesine yardımcı olur, çünkü küçük bir trafik miktarı bile gezinmesi zor olan binlerce paket üretebilir. Bu yardımcı programların neredeyse tamamı veri toplamada birbirinden çok az farklılık gösterir, temel farklılıklar verileri nasıl analiz ettikleridir.

Ağ trafiğini analiz etmek, ağın nasıl çalıştığını anlamayı gerektirir. İki cihaz arasında bir bağlantı başlatmak için kullanılan TCP "3 yollu el sıkışma" gibi, bir analistin temel ağ bilgisinin yerini sihirli bir şekilde değiştiren hiçbir araç yoktur. Analistlerin ayrıca ARP ve DHCP gibi normal işleyen bir ağdaki ağ trafiği türleri hakkında da biraz bilgi sahibi olmaları gerekir. Bu bilgi önemlidir, çünkü analiz araçları, onlardan ne istediğinizi size basitçe gösterecektir. Ne isteyeceğinize karar vermek size kalmış. Ağınızın genellikle nasıl göründüğünü bilmiyorsanız, aradığınızı derlediğiniz paketler yığınında bulduğunuzu bilmek zor olabilir.

En iyi paket dinleyicileri ve ağ analizörleri

endüstriyel aletler

En baştan başlayalım ve sonra temellere inelim. Kurumsal düzeyde bir ağla uğraşıyorsanız, büyük bir silaha ihtiyacınız olacak. Neredeyse her şey özünde tcpdump kullanıyor olsa da (daha sonra bahsedeceğiz), kurumsal düzeydeki araçlar, birden çok sunucudan gelen trafiği ilişkilendirmek, sorunları belirlemek için akıllı sorgular sağlamak, istisnalar hakkında uyarı vermek ve iyi grafikler oluşturmak gibi belirli karmaşık sorunları çözebilir. her zaman üstler tarafından gereklidir. .

Kurumsal düzeydeki araçlar, paketlerin içeriğini değerlendirmek yerine akışlı ağ trafiğine odaklanma eğilimindedir. Bununla demek istediğim, bir kuruluştaki çoğu sistem yöneticisinin ana odak noktası, ağın performans darboğazları olmamasını sağlamaktır. Bu tür darboğazlar meydana geldiğinde amaç genellikle sorunun ağdan mı yoksa ağdaki bir uygulamadan mı kaynaklandığını belirlemektir. Öte yandan, bu araçlar genellikle o kadar çok trafiği işleyebilir ki, ağ bant genişliği yönetiminde kritik bir nokta olan bir ağ segmentinin ne zaman tam olarak yükleneceğini tahmin etmeye yardımcı olabilirler.

Bu, çok büyük bir BT yönetim araçları setidir. Bu yazıda, ayrılmaz parçası olan Derin Paket İnceleme ve Analiz yardımcı programı daha uygundur. Ağ trafiğini toplamak oldukça basittir. WireShark gibi araçlarla temel analiz de sorun değil. Ancak durum her zaman tamamen açık değildir. Çok yoğun bir ağda, aşağıdakiler gibi çok basit şeyleri bile belirlemek zor olabilir:

Bu trafiği ağdaki hangi uygulama üretiyor?
- uygulama biliniyorsa (örneğin bir web tarayıcısı), kullanıcıları zamanlarının çoğunu nerede geçiriyor?
- hangi bağlantılar en uzundur ve ağa aşırı yük biner?

Çoğu ağ cihazı, paketin gitmesi gereken yere gittiğinden emin olmak için her paketin meta verilerini kullanır. Paketin içeriği ağ cihazı tarafından bilinmiyor. Başka bir şey de derin paket incelemesidir; bu, paketin gerçek içeriğinin kontrol edildiği anlamına gelir. Bu şekilde, meta verilerden toplanamayan kritik ağ bilgileri keşfedilebilir. SolarWinds tarafından sağlananlara benzer araçlar, yalnızca trafik akışından daha anlamlı veriler sağlayabilir.

Diğer veri yoğun ağ yönetimi teknolojileri arasında NetFlow ve sFlow bulunur. Her birinin kendi güçlü ve zayıf yönleri vardır,

NetFlow ve sFlow hakkında daha fazla bilgi edinebilirsiniz.

Genel olarak ağ analizi, hem edinilen bilgilere hem de pratik iş deneyimine dayanan ileri düzey bir konudur. Bir kişiyi ağ paketleri hakkında ayrıntılı bilgi konusunda eğitmek mümkündür, ancak bu kişinin ağın kendisi hakkında bilgisi yoksa ve anormallikleri tespit etme konusunda deneyimi yoksa, pek başarılı olmayacaktır. Bu makalede açıklanan araçlar, ne istediğini bilen ancak hangi aracın en iyi olduğundan emin olmayan deneyimli ağ yöneticileri tarafından kullanılmalıdır. Daha az deneyimli sistem yöneticileri tarafından günlük ağ deneyimi kazanmak için de kullanılabilirler.

Temel bilgiler

Ağ trafiğini toplamak için ana araç,

Hemen hemen tüm Unix benzeri işletim sistemlerine yüklenen açık kaynaklı bir uygulamadır. Tcpdump, çok gelişmiş bir filtreleme diline sahip harika bir veri toplama aracıdır. Verileri toplarken nasıl filtreleyeceğinizi bilmek önemlidir, böylece analiz için normal bir veri seti elde edersiniz. Orta derecede meşgul bir ağda bile bir ağ cihazından tüm verileri yakalamak, analiz edilmesi çok zor olacak çok fazla veri üretebilir.

Bazı nadir durumlarda, ihtiyacınız olanı bulmak için tcpdump tarafından yakalanan verileri doğrudan ekrana yazdırmanız yeterli olacaktır. Örneğin bu yazıyı yazarken trafik topladım ve makinemin bilmediğim bir IP adresine trafik gönderdiğini fark ettim. Makinemin 172.217.11.142 Google IP adresine veri gönderdiği ortaya çıktı. Herhangi bir Google ürünüm olmadığı ve Gmail'im de açık olmadığı için bunun neden olduğunu bilmiyordum. Sistemimi kontrol ettim ve şunları buldum:

[ ~ ]$ ps -ef | grep google kullanıcısı 1985 1881 0 10:16 ? 00:00:00 /opt/google/chrome/chrome --type=service

Görünüşe göre Chrome çalışmıyorken bile hizmet olarak çalışmaya devam ediyor. Paket koklama olmadan bunu fark edemezdim. Birkaç veri paketi daha yakaladım, ancak bu sefer tcpdump verileri bir dosyaya yazdırdım ve daha sonra Wireshark'ta açtım (daha fazlası için). İşte girişler:

Tcpdump, bir komut satırı yardımcı programı olduğu için sistem yöneticilerinin favori aracıdır. tcpdump çalıştırmak için bir GUI gerektirmez. Üretim sunucuları için, sistem kaynaklarını tükettiği için grafik arayüz oldukça zararlıdır, bu nedenle komut satırı programları tercih edilir. Birçok modern yardımcı program gibi, tcpdump da ustalaşması biraz zaman alan çok zengin ve karmaşık bir dile sahiptir. En temel komutlardan birkaçı, veri toplamak için bir ağ arabirimi seçmeyi ve bu verileri başka bir yerde analiz için dışa aktarılabilmesi için bir dosyaya yazmayı içerir. Bunun için -i ve -w anahtarları kullanılır.

# tcpdump -i eth0 -w tcpdump_packets tcpdump: eth0'da dinleme, bağlantı tipi EN10MB (Ethernet), yakalama boyutu 262144 bayt ^C51 paketleri yakalandı

Bu komut, yakalanan verilerle bir dosya oluşturur:

Dosya tcpdump_packets tcpdump_packets: tcpdump yakalama dosyası (little-endian) - sürüm 2.4 (Ethernet, yakalama uzunluğu 262144)

Bu tür dosyalar için standart, pcap formatıdır. Metin değildir, bu nedenle yalnızca bu biçimi anlayan programlar tarafından ayrıştırılabilir.

3. Windump

En kullanışlı açık kaynak yardımcı programları, diğer işletim sistemlerine klonlanır. Bu olduğunda, uygulamanın taşındığı söylenir. Windump, bir tcpdump bağlantı noktasıdır ve çok benzer şekilde davranır.

Windump ve tcpdump arasındaki en önemli fark, Windump'ın Windump'ı çalıştırmadan önce Winpcap kitaplığının yüklenmesine ihtiyaç duymasıdır. Windump ve Winpcap aynı sağlayıcı tarafından sağlansa da, ayrı olarak indirilmeleri gerekir.

Winpcap, önceden yüklenmesi gereken bir kitaplıktır. Ancak Windump, yüklenmesi gerekmeyen bir exe dosyasıdır, böylece onu çalıştırabilirsiniz. Bu, bir Windows ağı kullanıyorsanız aklınızda bulundurmanız gereken bir şeydir. Windump'ı her makineye kurmanız gerekmez, çünkü gerektiği gibi kopyalayabilirsiniz, ancak Windup'ı desteklemek için Winpcap'a ihtiyacınız olacak.

tcpdump'ta olduğu gibi, Windump analiz için ağ verilerini görüntüleyebilir, aynı şekilde filtreleyebilir ve daha sonra analiz için verileri bir pcap dosyasına yazabilir.

4 Tel köpekbalığı

Wireshark, sysadmin paketindeki bir sonraki en iyi bilinen araçtır. Yalnızca veri yakalamanıza izin vermekle kalmaz, aynı zamanda bazı gelişmiş analiz araçları da sağlar. Ayrıca Wireshark açık kaynak kodludur ve hemen hemen tüm mevcut sunucu işletim sistemlerine taşınmıştır. Etheral olarak adlandırılan Wireshark, artık bağımsız bir taşınabilir uygulama olarak da dahil olmak üzere her yerde çalışıyor.

Bir GUI sunucusundaki trafiği analiz ediyorsanız, Wireshark sizin için her şeyi yapabilir. Veri toplayabilir ve ardından hepsini orada analiz edebilir. Ancak, GUI sunucularda nadirdir, bu nedenle ağ verilerini uzaktan toplayabilir ve ardından ortaya çıkan pcap dosyasını bilgisayarınızda Wireshark'ta inceleyebilirsiniz.

İlk başlatıldığında Wireshark, mevcut bir pcap dosyasını yüklemenize veya bir trafik yakalama çalıştırmanıza izin verir. İkinci durumda, toplanan veri miktarını azaltmak için ek olarak filtreler ayarlayabilirsiniz. Bir filtre belirtmezseniz, Wireshark seçilen arayüzden tüm ağ verilerini toplayacaktır.

Wireshark'ın en kullanışlı özelliklerinden biri akışı takip etme yeteneğidir. İpliği zincir olarak düşünmek en iyisidir. Aşağıdaki ekran görüntüsünde çok sayıda yakalanan veriyi görebiliyoruz, ancak ben en çok Google'ın IP adresiyle ilgilendim. Tüm zinciri görmek için sağ tıklayıp TCP akışını takip edebilirim.

Trafik başka bir bilgisayarda yakalandıysa, PCAP dosyasını Wireshark Dosyası -> Aç iletişim kutusunu kullanarak içe aktarabilirsiniz. Alınan ağ verileriyle aynı filtreler ve araçlar, içe aktarılan dosyalar için kullanılabilir.

5. köpekbalığı

Tshark, tcpdump ve Wireshark arasında çok faydalı bir bağlantıdır. Tcpdump, veri toplamada mükemmeldir ve yalnızca ihtiyacınız olan verileri cerrahi olarak çıkarabilir, ancak veri analiz yetenekleri çok sınırlıdır. Wireshark hem yakalama hem de analiz etme konusunda harika bir iş çıkarır, ancak yoğun bir kullanıcı arayüzüne sahiptir ve GUI olmayan sunucularda kullanılamaz. Tshark'ı deneyin, komut satırında çalışır.

Tshark, Wireshark ile aynı filtreleme kurallarını kullanır; bu, aslında aynı ürün oldukları için sürpriz olmamalıdır. Aşağıdaki komut sadece tshark'a paketin HTTP kısmından hedef IP adresini ve diğer bazı ilgi alanlarını almasını söyler.

# tshark -i eth0 -Y http.request -T alanları -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox /57.0 /images/title.png 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/styles/phoenix.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/201000101 Firefox/57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox /57.0 /images/styles/index.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/images/title.png 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/201000101 Firefox/57.0 /favicon.ico 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /favicon.ico

Trafiği bir dosyaya yazmak istiyorsanız, bunu yapmak için -W seçeneğini ve ardından okumak için -r (okuma) anahtarını kullanın.

Önce yakalayın:

# tshark -i eth0 -w tshark_packets "eth0" üzerinde yakalama 102 ^C

Burada okuyun veya analiz için başka bir yere taşıyın.

# tshark -r tshark_packets -Y http.request -T alanları -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/201000101 Firefox /57.0 /contact 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /reservations/ 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100100 57.0 / bookings/styles/styles.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js 172.20 .0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/styles/index.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/ 57.0 /res/images/title.png

Bu, sadece koklayıcılardan ziyade ağ adli analiz araçları kategorisine giren çok ilginç bir araçtır. Adli bilim alanı tipik olarak araştırmacı ve kanıt toplamadır ve Network Miner bu işi gayet iyi yapar. Wireshark'ın tüm paket aktarım zincirini kurtarmak için bir TCP akışını takip edebilmesi gibi, Network Miner da ağ üzerinden aktarılan dosyaları kurtarmak için bir akışı takip edebilir.

Network Miner, ilgilendiğiniz trafiği gerçek zamanlı olarak gözlemleyebilmeniz ve toplayabilmeniz için ağa stratejik olarak yerleştirilebilir. Ağ üzerinde kendi trafiğini oluşturmayacağı için gizli olarak çalışacaktır.

Network Miner çevrimdışı da çalışabilir. Bir ağ ilgi noktasından paketleri toplamak için tcpdump'ı kullanabilir ve ardından PCAP dosyalarını Network Miner'a aktarabilirsiniz. Ardından, kaydedilen dosyada bulunan tüm dosyaları veya sertifikaları geri yüklemeyi deneyebilirsiniz.

Network Miner Windows için yapılmıştır, ancak Mono ile Linux ve MacOS gibi Mono platformunu destekleyen herhangi bir işletim sisteminde çalıştırılabilir.

Giriş seviyesi ücretsiz bir sürümü var, ancak iyi bir dizi özelliğe sahip. Coğrafi konum ve özel senaryolar gibi ek özelliklere ihtiyacınız varsa, profesyonel bir lisans satın almanız gerekecektir.

7Fiddler (HTTP)

Teknik olarak bir ağ paketi yakalama aracı değildir, ancak bu listede olması inanılmaz derecede kullanışlıdır. Herhangi bir kaynaktan ağ trafiğini yakalamak için tasarlanmış burada listelenen diğer araçların aksine, Fiddler daha çok bir hata ayıklama aracıdır. HTTP trafiğini yakalar. Pek çok tarayıcının geliştirici araçlarında bu yeteneğe sahip olmasına rağmen, Fiddler tarayıcı trafiğiyle sınırlı değildir. Fiddler, web dışı uygulamalar da dahil olmak üzere bilgisayarınızdaki herhangi bir HTTP trafiğini yakalayabilir.

Birçok masaüstü uygulaması web hizmetlerine bağlanmak için HTTP kullanır ve Fiddler dışında bu tür trafiği analiz için yakalamanın tek yolu tcpdump veya Wireshark gibi araçları kullanmaktır. Ancak, paket düzeyinde çalışırlar, bu nedenle analiz için bu paketleri HTTP akışlarına tersine çevirmek gerekir. Basit bir araştırma yapmak çok fazla iş olabilir ve Fiddler'ın girdiği yer burasıdır. Fiddler, uygulamalar tarafından gönderilen tanımlama bilgilerini, sertifikaları ve diğer yararlı verileri algılamanıza yardımcı olur.

Fiddler ücretsizdir ve Network Miner gibi hemen hemen her işletim sisteminde Mono'da çalıştırılabilir.

8 Kapsa

Capsa Network Analyzer'ın her biri farklı yeteneklere sahip birkaç sürümü vardır. İlk seviyede, Capsa ücretsizdir ve temelde paketleri yakalamanıza ve bunların bazı temel grafik analizlerini yapmanıza olanak tanır. Pano benzersizdir ve deneyimsiz sistem yöneticisinin ağ sorunlarını hızlı bir şekilde tanımlamasına yardımcı olabilir. Ücretsiz katman, paketler hakkında daha fazla bilgi edinmek ve analiz becerilerini geliştirmek isteyenler içindir.

Ücretsiz sürüm, 300'den fazla protokolü kontrol etmenize olanak tanır, e-postayı izlemek ve e-posta içeriğini kaydetmek için uygundur, ayrıca belirli durumlar meydana geldiğinde uyarıları tetiklemek için kullanılabilecek tetikleyicileri de destekler. Bu bağlamda Capsa bir ölçüde destek aracı olarak kullanılabilir.

Capsa, yalnızca Windows 2008/Vista/7/8 ve 10 için kullanılabilir.

Çözüm

Açıkladığımız araçları kullanarak bir sistem yöneticisinin nasıl bir ağ izleme altyapısı oluşturabileceğini görmek kolaydır. Tcpdump veya Windump tüm sunuculara kurulabilir. Cron veya Windows zamanlayıcı gibi bir zamanlayıcı, doğru zamanda bir paket toplama oturumu başlatır ve toplanan verileri bir pcap dosyasına yazar. Sistem yöneticisi daha sonra bu paketleri merkezi makineye gönderebilir ve wireshark kullanarak analiz edebilir. Ağ bunun için çok büyükse, tüm ağ paketlerini yönetilebilir bir veri kümesine dönüştürmek için SolarWinds gibi kurumsal düzeyde araçlar vardır.

Ağ trafiğine müdahale ve analiz hakkında diğer makaleleri okuyun :

Dan Nanni, Linux'ta Ağ Trafiğini İzlemek için Komut Satırı Yardımcı Programları
Paul Cobbaut, Linux Sistem Yönetimi. Ağ trafiğinin kesilmesi
Paul Ferrill, 5 Linux Ağ İzleme Aracı
Pankaj Tanwar, libpcap Kitaplığı ile Paketleri Yakalama
Riccardo Capecchi, Wireshark Filtrelerini Kullanma
Nathan Willis, Wireshark ile Ağ Analizi
Prashant Phatak,

Ağ analizörleri, kabloları ve kablolama sistemlerini teşhis etmek ve onaylamak için referans ölçüm cihazlarıdır. Kablolama sistemlerinin tüm elektrik parametrelerini yüksek doğrulukla ölçebilir ve ayrıca protokol yığınının daha yüksek seviyelerinde çalışabilirler. Ağ analizörleri, geniş bir frekans aralığında sinüzoidal sinyaller üretir, bu da alıcı çift üzerindeki genlik-frekans karakteristiğinin ve karışma, zayıflama ve toplam zayıflamanın ölçülmesini mümkün kılar. Ağ analizörü, kullanımı oldukça zor olan büyük bir laboratuvar cihazıdır.

Birçok üretici, ağ analizörlerini istatistiksel trafik analiz işlevleriyle destekler - segment kullanım oranı, yayın trafik seviyesi, hatalı çerçevelerin yüzdesi ve ayrıca farklı protokollerin paketlerini filtre koşullarına göre yakalayan ve paketlerin kodunu çözen protokol analizörü işlevleri.

7.3.4. Kablo tarayıcıları ve test cihazları

Ana amaç kablo tarayıcılar - kabloların elektriksel ve mekanik parametrelerinin ölçümü: kablo uzunluğu, NEXT parametresi, zayıflama, empedans, iletken çiftleri için bağlantı şeması, kablodaki elektriksel gürültü seviyesi. Bu cihazların yaptığı ölçümlerin doğruluğu ağ analizörlerine göre daha düşüktür ancak kablonun standarda uygunluğunu değerlendirmek için oldukça yeterlidir.

Zaman Alanı Reflektometrisi (TDR), bir kablo sistemi arızasını (kopma, kısa devre, yanlış yerleştirilmiş konektör vb.) bulmak için kullanılır. Bu yöntemin özü, tarayıcının kabloya kısa bir elektrik darbesi yayması ve yansıyan sinyal gelene kadar gecikme süresini ölçmesidir. Yansıyan darbenin polaritesi, kablo hasarının (kısa devre veya kopma) yapısını belirler. Düzgün kurulmuş ve bağlanmış bir kabloda yansıyan darbe neredeyse yoktur.

Mesafe ölçüm doğruluğu, kablodaki elektromanyetik dalgaların yayılma hızının ne kadar doğru bilindiğine bağlıdır. Farklı kablolar için farklı olacaktır. Kablodaki elektromanyetik dalgaların yayılma hızı (Nominal Yayılma Hızı, NVP) genellikle ışığın boşluktaki hızının yüzdesi olarak belirlenir. Modern tarayıcılar, tüm ana kablo türleri için NVP verilerinin bir elektronik tablosunu içerir ve kullanıcının bu parametreleri ön kalibrasyondan sonra ayarlamasına olanak tanır.

Kablo tarayıcılar, bakım personelinin her zaman yanlarında taşıyabileceği taşınabilir cihazlardır.

Kablo test cihazları- kablo teşhisi için en basit ve en ucuz cihazlar. Kablonun sürekliliğini belirlemenizi sağlarlar ancak kablo tarayıcılardan farklı olarak arızanın nerede olduğu sorusuna cevap vermezler.

7.3.5. Çok işlevli taşınabilir izleme cihazları

Son zamanlarda, taşınabilirlik gibi önemli bir özelliği korurken, kablo tarayıcıların, protokol analizörlerinin ve hatta kontrol sistemlerinin bazı işlevlerinin yeteneklerini birleştiren çok işlevli taşınabilir cihazlar üretildi. Çok işlevli izleme cihazları, sorunları tanımlamanıza ve kabloları fiziksel düzeyde test etmenize olanak tanıyan özel bir fiziksel arabirime sahiptir; bu, üst düzey işlevleri gerçekleştirmek için yazılımlı bir mikroişlemci ile tamamlanır.

Fizikselden uygulamaya, protokol yığınının tüm seviyelerinde meydana gelen çeşitli ağ sorunlarının nedenlerini teşhis etmek için çok yararlı olan böyle bir cihazın tipik bir dizi fonksiyon ve özelliğini ele alalım.

Kullanıcı arayüzü

Cihaz genellikle kullanıcıya bir menü sistemine dayalı kullanıcı dostu ve sezgisel bir arayüz sağlar. Grafik kullanıcı arayüzü, kullanıcıyı en yaygın izlenen ağ sorunları hakkında bilgilendirmek için çok satırlı bir LCD ekran ve LED durum göstergeleri üzerinde uygulanmaktadır. Bir seviye ile operatöre kapsamlı bir ipucu dosyası var.

bağlama göre erişim. Ağ durumu bilgileri, tüm beceri seviyelerindeki kullanıcıların hızlı bir şekilde anlayabileceği şekilde sunulur.

Donanım ve kablo test işlevleri

Çok işlevli cihazlar, en sık kullanılan kablo tarayıcı özelliklerini bir dizi yeni test özelliğiyle birleştirir.

kablo taraması

İşlev, kablonun uzunluğunu, en ciddi kusura olan mesafeyi ve kablo uzunluğu boyunca empedans dağılımını ölçmenize olanak tanır. Blendajsız bükümlü çifti test ederken, aşağıdaki hatalar tespit edilebilir: bölünmüş çift, kesintiler, kısa devreler ve diğer bağlantı hataları türleri.

Koaksiyel kablo üzerindeki Ethernet ağları için bu kontroller canlı bir ağ üzerinde gerçekleştirilebilir.

Kablo damarlarının dağılımını belirleme işlevi Damarların doğru bağlantısını, bükümlü çiftlerde ara kesintilerin ve atlama tellerinin varlığını kontrol eder. Ekran, birbirine bağlı kişi gruplarının bir listesini gösterir.

Kablo haritası algılama işlevi

Merkez odadan ayrılan ana kabloları ve kabloları haritalamak için kullanılır.

Otomatik kablo testi

Konfigürasyona bağlı olarak, 100 MHz'e kadar bir frekansta uzunluk, empedans, kablo bağlantısı, zayıflama ve NEXT parametresini belirlemek mümkündür. Aşağıdakiler için otomatik doğrulama gerçekleştirilir:

koaksiyel kablolar;

150 ohm empedanslı korumalı bükümlü çift;

100 ohm dirençli blendajsız bükümlü çift kablo.

DC sürekliliği

Bu özellik, doğru sonlandırıcıların kullanıldığını ve takıldığını doğrulamak için koaksiyel kabloları test ederken kullanılır.

Nominal Yayılma Hızının Belirlenmesi

İşlev, bilinen uzunlukta bir kablo üzerinden Nominal Yayılma Hızını (NVP) hesaplar ve ayrıca sonuçları Kullanıcı Tanımlı kablo türü veya standart kablo için bir dosyada saklar.

Ağ bağdaştırıcısı-göbek çiftinin kapsamlı otomatik doğrulaması

Bu kapsamlı test, cihazı bir ağ uç düğümü ile bir hub arasında zincirleme bağlamanıza olanak tanır. Test, otomatik olarak belirlemeyi mümkün kılar

hata kaynağının konumunu paylaşın - kablo, hub, ağ bağdaştırıcısı veya istasyon yazılımı.

Ağ bağdaştırıcılarının otomatik kontrolü

Yeni yüklenen veya "şüpheli" ağ bağdaştırıcılarının düzgün çalıştığını doğrular. Ethernet ağları için, testin sonuçlarını takiben aşağıdakiler rapor edilir: MAC adresi, sinyal voltaj seviyesi (ayrıca 10BASE-T için Bağlantı Test darbelerinin varlığı ve polaritesi). Ağ bağdaştırıcısında sinyal algılanmazsa, test bunları teşhis etmek için konektörü ve kabloyu otomatik olarak tarar.

İstatistik Toplama Fonksiyonları

Bu işlevler, ağ bölümlerinin "sağlığını" karakterize eden en önemli parametrelerdeki değişikliklerin gerçek zamanlı olarak izlenmesini sağlar. İstatistikler genellikle farklı gruplar için farklı ayrıntı düzeylerinde toplanır.

Ağ istatistikleri

Bu grup en önemli istatistikleri içerir - segment kullanımı (kullanım), çarpışma oranı, hata oranı ve yayın trafik seviyesi. Bu göstergeler belirli eşikleri aşarsa, öncelikle çok işlevli cihazın bağlı olduğu ağ segmentindeki sorunları gösterirler.

Çerçeve hatası istatistikleri

Bu özellik, belirli bir teknoloji için tüm hatalı çerçeve türlerini izlemenizi sağlar. Örneğin, Ethernet teknolojisi, aşağıdaki hatalı çerçeve türleri ile karakterize edilir.

Kısa çerçeveler. Bunlar, izin verilen uzunluktan, yani 64 bayttan küçük olan çerçevelerdir. Bazen bu tür çerçeveler iki sınıfa ayrılır - sadece doğru sağlama toplamına sahip kısa çerçeveler (kısa) ve doğru sağlama toplamına sahip olmayan "kısa" (kısa kareler). Saplama çerçevelerinin en olası nedenleri, hatalı ağ bağdaştırıcıları ve sürücüleridir.

Uzatılmış çerçeveler (Jabbers). Bunlar, sağlama toplamı iyi veya kötü olan izin verilen 1518 bayttan daha uzun olan çerçevelerdir. Genişletilmiş çerçeveler, ağ bağdaştırıcısı arızaları nedeniyle oluşan gecikmeli bir iletimin sonucudur.

Normal boyutta, ancak sağlama toplamı (Kötü FCS) ve bayt hizalama hataları olan çerçeveler. Yanlış sağlama toplamı olan çerçeveler birçok şeyin sonucudur - kötü adaptörler, kablo gürültüsü, kötü kontaklar, hatalı çalışan tekrarlayıcı portları, köprüler, anahtarlar ve yönlendiriciler. Bir hizalama hatasına her zaman bir sağlama toplamı hatası eşlik eder, bu nedenle bazı trafik analizi araçları aralarında ayrım yapmaz. Bir hizalama hatası, verici bağdaştırıcı tarafından bir çarpışma algılandığında sonlandırılan bir çerçevenin sonucu olabilir.

Hayalet çerçeveler (hayaletler), kablodaki elektromanyetik girişimin sonucudur. Ağ bağdaştırıcıları tarafından 10101011 normal çerçeve başlangıç işaretine sahip olmayan çerçeveler olarak algılanırlar. Hayalet çerçeveler 72 bayttan uzundur, aksi takdirde uzak çarpışmalar olarak sınıflandırılırlar. Algılanan hayalet çerçevelerin sayısı büyük ölçüde ağ analizörü bağlantı noktasına bağlıdır. Toprak döngüleri ve diğer kablolama sorunlarından kaynaklanırlar.

Toplam hatalı çerçeve sayısının türlerine göre yüzde dağılımını bilmek, yöneticiye ağ sorunlarının olası nedenleri hakkında çok şey söyleyebilir. Hatalı çerçevelerin küçük bir yüzdesi bile, bozuk çerçeveleri kurtaran protokoller büyük alındı zaman aşımlarıyla çalışıyorsa, yararlı ağ veriminde önemli bir azalmaya yol açabilir. Normal çalışan bir ağda, çerçeve hatalarının yüzdesinin %0.01'i, yani 10.000'de 1'den fazla çerçeve hatası olmaması gerektiğine inanılmaktadır.

çarpışma istatistikleri.

Bu özellik grubu, ağ segmentinde belirtilen çarpışmaların sayısı ve türleri hakkında bilgi sağlar ve sorunun varlığını ve konumunu belirlemenize olanak tanır. Protokol analizörleri genellikle kendi türlerine göre toplam çarpışma sayısının dağılımının farklı bir resmini veremezken, geçerli çarpışma türünü bilmek zayıf ağ performansının nedenini anlamaya yardımcı olabilir.

Aşağıda ana Ethernet ağı çarpışma türleri verilmiştir.

Yerel çarpışma (Yerel Çarpışma). Ölçümlerin yapıldığı segmente ait iki veya daha fazla düğümün aynı anda iletiminin sonucudur. Çok işlevli cihaz çerçeve oluşturmazsa, yerel çarpışmalar bükümlü çift veya fiber optik ağda kaydedilmez. Çok yüksek düzeyde yerel çarpışmalar, kablolama sistemindeki sorunların bir sonucudur.

Uzaktan çarpışma (Uzaktan Çarpışma). Bu çarpışmalar, tekrarlayıcının diğer tarafında (sayacın kurulu olduğu segmente göre) meydana gelir. Çoklu bağlantı noktalı tekrarlayıcılar (10Base-T, 10Base-FL/FB, 100Base-TX/FX/T4, Gigabit Ethernet) üzerine kurulu ağlarda, ölçülen tüm çarpışmalar uzaktır (analizörün kendisinin çerçeveler oluşturduğu ve bir çarpışmanın suçlusu olabileceği durumlar dışında) ). Tüm protokol çözümleyicileri ve izleme araçları, uzaktan çarpışmaları aynı şekilde yakalamaz. Bunun nedeni, bazı ölçüm araçlarının ve sistemlerinin, önsözün iletimi sırasında meydana gelen çarpışmaları yakalamamasıdır.

Geç çarpışma (Geç Çarpışma). Bu, bir çerçevenin ilk 64 baytının iletiminden sonra meydana gelen bir çarpışmadır (Ethernet protokolü, bir çerçevenin ilk 64 baytı iletildiğinde bir çarpışmayı algılamalıdır). Geç çarpışma, 64 bayttan daha uzun ve geçersiz bir sağlama toplamı değeri içeren bir çerçeveye neden olur. Çoğu zaman, bu, çakışmanın kaynağı olan ağ bağdaştırıcısının hatta düzgün dinleyemediğini ve bu nedenle aktarımı zamanında durduramayacağını gösterir. Geç çarpışmanın bir başka nedeni de, maksimum gidiş-dönüş süresinin aşılmasına neden olan çok fazla kablolama veya çok fazla ara tekrarlayıcıdır. Normal çalışan bir ağdaki ortalama çarpışma yoğunluğu %5'ten az olmalıdır. Büyük sivri uçlar (%20'den fazla), kablo sorunlarının bir göstergesi olabilir.

Kullanılan ağ protokollerinin dağıtımı

Bu istatistiksel grup, ağ katmanı protokollerine aittir. Ekran, bu protokolün paketlerini içeren çerçevelerin ağdaki toplam çerçeve sayısına göre yüzdesine göre azalan sırada ana protokollerin bir listesini gösterir.

En çok gönderenler

İşlev, yerel ağın en aktif verici düğümlerini izlemenizi sağlar. Cihaz, tek bir adres üzerinde filtreleme yapmak ve belirli bir istasyon için çerçevelerin ana göndericilerinin bir listesini ortaya çıkarmak üzere yapılandırılabilir. Veriler, ana çerçeve gönderenlerinin bir listesiyle birlikte bir grafik olarak görüntülenir.

En İyi Alıcılar

İşlev, ağın en aktif alıcı düğümlerini izlemenizi sağlar. Bilgiler yukarıdakiyle aynı şekilde görüntülenir.

En iyi yayın trafiği üreticileri (En İyi Yayıncılar)

İşlev, yayın ve çok noktaya yayın adresleriyle çerçeve oluşturan ağ istasyonlarını diğerlerinden daha fazla algılar.

Trafik Üretimi

Cihaz, ağır yük altında ağ performansını test etmek için trafik oluşturabilir. Etkinleştirilmiş özelliklerle paralel olarak trafik oluşturulabilir Ağ İstatistikleri, Hatalı Çerçeve İstatistikleri ve Çarpışma istatistikleri.

Kullanıcı, yoğunluk ve çerçeve boyutu gibi oluşturulan trafiğin parametrelerini ayarlayabilir. Köprüleri ve yönlendiricileri test etmek için cihaz otomatik olarak IP ve IPX paket başlıkları oluşturabilir ve operatörün tek yapması gereken kaynak ve hedef adreslerini girmektir.

Test sırasında kullanıcı, imleç tuşlarını kullanarak boyutu ve kare hızını anında artırabilir. Bu, özellikle ağ performansı sorunlarının ve arıza koşullarının kaynağını ararken değerlidir.

Protokol Analiz Fonksiyonları

Tipik olarak, taşınabilir çok işlevli araçlar yalnızca TCP/IP yığın protokolleri, Novell NetWare, NetBIOS ve Banyan VINES gibi ana LAN protokollerinin kodunun çözülmesini ve ayrıştırılmasını destekler.

Bazı MFP'ler, protokol çözümleyicilerinin yaptığı gibi yakalanan paketlerin kodunu çözme yeteneğine sahip değildir ve bunun yerine ağ sorunlarını gösteren en önemli paketler hakkında istatistikler toplar. Örneğin, TCP / IP yığınının protokollerini analiz ederken, yönlendiricilerin çeşitli hataların oluşumu hakkında uç düğümleri bilgilendirdiği ICMP protokol paketleri üzerinde istatistikler toplanır. Ağ düğümlerinin erişilebilirliğini manuel olarak kontrol etmek için cihazlar, IP Ping yardımcı programının yanı sıra benzer amaçlarla NetWare Ping ve NetBIOS Ping yardımcı programları için destek içerir.

Trafik analizi, ister küçük bir şirkette ister büyük bir şirkette çalışıyor olsun, herhangi bir BT uzmanı tarafından önemi bilinen bir süreçtir. Sonuçta, ağ ile ilgili sorunları tespit etmek ve düzeltmek, hem uzmanın içgüdüsüne hem de üzerinde çalıştığı verilerin derinliğine ve kalitesine doğrudan bağlı olan gerçek bir sanattır. Ve trafik analizörü tam olarak size bu verileri sağlayan araçtır. Akıllıca seçilmiş bir ağ trafiği analizi çözümü, yalnızca paketlerin nasıl gönderildiğini, alındığını ve ağınız üzerinden ne kadar güvenli seyahat ettiğini anlamanıza yardımcı olmakla kalmaz, aynı zamanda çok, çok daha fazlasını da yapabilir!

Artık piyasada ağ trafiğini analiz etmek için çok sayıda yazılım çeşidi bulunmaktadır. Üstelik bazıları "eski okul" uzmanlarında nostaljik anılar uyandırabiliyor; bir terminal yazı tipi ve komut satırı arabirimi kullanırlar ve ilk bakışta kullanımı zor görünür. Aksine, diğer çözümler kurulum kolaylığı ile öne çıkıyor ve görsel algıya sahip bir izleyici kitlesine odaklanıyor (kelimenin tam anlamıyla çeşitli grafiklerle aşırı doygun hale geliyorlar). Bu çözümlerin fiyat aralığı da çok farklıdır - ücretsizden çok pahalı bir kurumsal lisansa sahip çözümlere.

Görevlerinize ve tercihlerinize bağlı olarak ağ trafiğini analiz etmek için en iyi çözümü seçebilmeniz için, size şu anda piyasada bulunan en ilginç trafik analizi yazılım ürünlerinin bir listesini ve kısa bir genel bakış sunuyoruz. çeşitli ağ bilgilerinin çıkarılması, işlenmesi ve görsel sunumu için içlerinde yerleşik olan işlevsellik. Bu işlevlerden bazıları, bu incelemede sunulan tüm ağ trafiği analiz çözümleri için benzerdir - gönderilen ve alınan ağ paketlerini bir veya başka bir ayrıntı düzeyinde görmenize olanak tanır - ancak hemen hemen hepsinin, kullanıldıklarında onları benzersiz kılan bazı karakteristik özellikleri vardır. belirli durumlarda veya ağ ortamlarında. Neticede bir ağ sorunumuz olduğunda ağ trafiği analizine başvuruyoruz ancak bunu hızlı bir şekilde belirli bir makine, cihaz veya protokole indirgeyemiyoruz ve daha derine inmemiz gerekiyor. Bu amaçlar için en uygun trafik analiz yazılımı çözümünü seçmenize yardımcı olacağız.

SolarWinds Ağ Bant Genişliği Analizörü

Bu çözüm, üretici tarafından iki üründen oluşan bir yazılım paketi olarak konumlandırılmıştır - Network Performance Monitor (temel çözüm) ve NetFlow Traffic Analyzer (modüler uzantı). Belirtildiği gibi, ağ trafiğini analiz etmek için benzer, ancak yine de farklı işlevlere sahiptirler ve iki ürün aynı anda birlikte kullanıldığında birbirlerini tamamlarlar.

Ağ Performans İzleyicisi, adından da anlaşılacağı gibi, ağ performansını izler ve ağınızda neler olup bittiği hakkında genel bir fikir edinmek istiyorsanız cazip bir seçimdir. Bu çözümü satın alarak, ağınızın genel sağlığını izleme yeteneği için ödeme yaparsınız: veri ve paket aktarımlarının hızı ve güvenilirliği gibi büyük miktarda istatistiksel verilere dayanarak, çoğu durumda hızlı bir şekilde tanımlayabileceksiniz. ağınızdaki sorunlar. Programın olası sorunları belirlemeye yönelik gelişmiş entelektüel yetenekleri ve olası sorunlar hakkında net uyarılar içeren tablo ve grafikler şeklinde sonuçların görsel sunumu için geniş olanaklar bu işi daha da kolaylaştıracaktır.

NetFlow Traffic Analyzer'ın modüler uzantısı, trafiğin kendisini analiz etmeye daha fazla odaklanmıştır. Temel Network Performance Monitor yazılım çözümünün işlevselliği daha çok ağ performansı hakkında genel bir fikir edinmeye odaklanırken, NetFlow Traffic Analyzer ağda meydana gelen süreçlerin daha ayrıntılı bir analizine odaklanır. Özellikle, yazılım paketinin bu kısmı bant genişliği tıkanıklığını veya anormal patlamaları analiz edecek ve kullanıcı, protokol veya uygulamaya göre sıralanmış istatistikler sağlayacaktır. Lütfen bu programın yalnızca Windows ortamında kullanılabildiğini unutmayın.

Tel köpekbalığı

Geniş bir ağ tanılama çözümleri ailesinde nispeten yeni bir araçtır, ancak bu süre zarfında BT uzmanlarının takdirini ve saygısını kazanmayı çoktan başardı. Trafik analizi söz konusu olduğunda, WireShark işini sizin için mükemmel bir şekilde yapıyor. Geliştiriciler, orijinal veriler ile bu verilerin görsel temsili arasında bir orta yol bulabildiler, bu nedenle WireShark'ta, diğer ağ trafiği analiz çözümlerinin çoğunun günah olduğu bir yönde veya diğerinde bozulmalar bulamazsınız. WireShark basit, uyumlu ve taşınabilir. WireShark ile tam olarak beklediğiniz şeyi alırsınız ve hızlı bir şekilde alırsınız.

WireShark harika bir kullanıcı arayüzüne, birçok filtreleme ve sıralama seçeneğine sahiptir ve çoğumuzun takdir edeceği gibi, WireShark trafik analizi en popüler üç işletim sistemi ailesinden herhangi biri ile harika çalışır - *NIX, Windows ve macOS. Yukarıdakilerin tümüne, WireShark'ın açık kaynak kodlu ve ücretsiz olduğu gerçeğini ekleyin ve ağınızı hızlı bir şekilde teşhis etmek için harika bir araca sahipsiniz.

tcpdump

tcpdump trafik analizörü eski bir araca benziyor ve tamamen dürüst olmak gerekirse, işlevsellik açısından da işe yarıyor. İşiyle başa çıkmasına ve bunu iyi yapmasına ve bunun için mümkün olduğunca az sistem kaynağı kullanmasına rağmen, birçok modern uzmanın çok sayıda “kuru” veri tablosunu anlaması zor olacaktır. Ancak hayatta, kaynaklara bu kadar kesilmiş ve iddiasız çözümlerin kullanılmasının faydalı olabileceği durumlar vardır. Bazı ortamlarda veya zar zor çalışan bilgisayarlarda minimalizm tek geçerli seçenek olabilir.

tcpdump yazılım çözümü orijinal olarak *NIX ortamı için geliştirildi, ancak şimdi birkaç Windows bağlantı noktasıyla da çalışıyor. Herhangi bir trafik analiz cihazından bekleyeceğiniz tüm temel işlevlere sahiptir - yakalama, kaydetme vb. - ancak ondan daha fazlasını beklemeyin.

Kısmet

Kismet Traffic Analyzer, belirli ihtiyaçlara göre uyarlanmış bir başka açık kaynaklı yazılım örneğidir. Kısmet sadece ağ trafiğini analiz etmekle kalmaz, size çok daha gelişmiş işlevsellik sunar. Örneğin, gizli ağların ve hatta SSID'lerini yayınlamayan kablosuz ağların trafiğini analiz edebilir! Bunun gibi bir trafik analiz aracı, kablosuz ağınızda sorunlara neden olan bir şey olduğunda, ancak bunun kaynağını hemen bulamadığınızda son derece yararlı olabilir. Kısmet, hileli bir ağı veya çalışan ancak tam olarak doğru olmayan bir erişim noktasını tespit etmenize yardımcı olacaktır.

Birçoğumuz, kablosuz ağ trafiğini analiz etme söz konusu olduğunda görevin daha karmaşık hale geldiğini ilk elden biliyoruz, bu nedenle Kismet gibi özel bir araca sahip olmak yalnızca arzu edilen bir şey değil, aynı zamanda çoğu zaman gereklidir. Sürekli olarak çok sayıda kablosuz trafik ve kablosuz cihazla uğraşıyorsanız ve iyi bir kablosuz trafik analiz aracına ihtiyacınız varsa Kismet Traffic Analyzer sizin için harika bir seçimdir. Kismet *NIX, Windows için Cygwin ve macOS ortamlarında kullanılabilir.

EterMaymun

EtherApe, işlevsellik açısından WireShark'a yakındır ve aynı zamanda ücretsiz ve açık kaynaklı bir yazılımdır. Ancak, onu diğer çözümlerden gerçekten ayıran şey, grafiklere odaklanmasıdır. Ve örneğin, WireShark trafik analizinin sonuçlarını klasik bir dijital biçimde görüntülerseniz, EtherApe ağ trafiği, her grafik köşesinin ayrı bir ana bilgisayarı temsil ettiği, köşelerin ve kenarların boyutlarının belirttiği gelişmiş bir grafik arabirim kullanılarak görüntülenir. ağ trafiğinin boyutu ve renkler çeşitli protokollerle işaretlenmiştir. İstatistiksel bilgilerin görsel olarak algılanmasını tercih edenler için EtherApe analizörü en iyi seçim olabilir. *NIX ve macOS ortamları için kullanılabilir.

Kabil ve Habil

İsmi oldukça merak edilen bu yazılımda trafik analizi yapabilme özelliği ana fonksiyondan çok yardımcı bir fonksiyondur. Görevleriniz basit trafik analizinin çok ötesine geçiyorsa bu araca dikkat etmelisiniz. Bununla Windows işletim sistemi için parolaları kurtarabilir, kayıp kimlik bilgilerini elde etmek için saldırılar gerçekleştirebilir, ağdaki VoIP verilerini inceleyebilir, paket yönlendirmesini analiz edebilir ve çok daha fazlasını yapabilirsiniz. Bu, geniş yetkilere sahip bir sistem yöneticisi için gerçekten güçlü bir araç takımıdır. Yalnızca Windows ortamında çalışır.

ağ madenci

NetworkMiner çözümü, işlevselliği olağan trafik analizinin ötesine geçen başka bir yazılım çözümüdür. Diğer trafik analizörleri paket gönderip almaya odaklanırken, NetworkMiner bu paketleri doğrudan gönderen ve alan kişileri takip eder. Bu araç, sorunlu bilgisayarları veya kullanıcıları tanımlamak için genel tanılama veya kendi başına ağ izlemeden daha uygundur. ağ madenci işletim sistemi için tasarlandı Pencereler.

KisMAC

KisMAC - bu yazılım ürününün adı kendisi için konuşur - bu, macOS için Kısmet. Bu günlerde, Kismet zaten macOS işletim ortamı için bir bağlantı noktasına sahiptir, bu nedenle KisMAC'ın varlığı gereksiz görünebilir, ancak KisMAC çözümünün aslında kendi kod tabanına sahip olduğu ve doğrudan Kısmet trafiğinden türetilmediği gerçeğine dikkat etmeye değer. analizör. KisMAC, konum haritalama ve macOS'ta kimlik doğrulama saldırısı gibi Kismet'in kendi başına sağlamadığı bazı yetenekler sunar. Belirli durumlarda bu benzersiz özellikler, teraziyi bu özel yazılım çözümünün lehine çevirebilir.

Çözüm

Ağ trafiği analiz yazılımı, periyodik olarak performans, bağlantı kesilmesi veya ağ yedekleme sorunları gibi çeşitli ağ sorunlarıyla karşılaştığınızda sizin için hayati bir araç olabilir. Ağ üzerinde veri gönderme ve alma ile ilgili hemen hemen her şey, yukarıdaki listeden yazılım kullanılarak elde edilen bilgiler sayesinde hızlı bir şekilde tanımlanabilir ve düzeltilebilir.

Ağ trafiğinin kalitatif analizinin, kanıtlanmış özel yazılım araçlarının yardımıyla size vereceği sonuçlar, sorunun en üst katmanının derinliklerine inmenize ve ağınızda gerçekten neler olup bittiğini veya gerçekleşmediğini, ancak olması gerektiğini anlamanıza yardımcı olacaktır. .

Bültene abone olun, makaleleri sosyal ağlarda paylaşın ve yorumlarda sorular sorun!

Her zaman iletişim halindesiniz, Igor Panov.