Что такое мониторы сети и анализаторы протоколов

Обновлено: 28.06.2024

Анализаторы протоколов являются отдельным классом программного обеспечения, хотя они, по сути, есть часть сетевых мониторов. В каждый монитор встроено как минимум несколько анализаторов протоколов. Зачем же тогда их применять, если можно реализовать более достойную систему на сетевых мониторах? Во-первых, устанавливать мощный монитор не всегда целесообразно, а во-вторых, далеко не каждая организация может позволить себе приобрести его за тысячи долларов. Иногда встает вопрос о том, не будет ли монитор сам по себе дороже той информации, защиту которой он призван обеспечить? Вот в таких (или подобных) случаях и применяются анализаторы протоколов в чистом виде. Роль их схожа с ролью мониторов.

Сетевой адаптер каждого компьютера в сети Ethernet, как правило, "слышит" все, о чем "толкуют" между собой его соседи по сегменту этой сети. Но обрабатывает и помещает в свою локальную память он только те порции (так называемые кадры) данных, которые содержат уникальный адрес, присвоенный ему в сети. В дополнение к этому подавляющее большинство современных Ethernet-адаптеров допускают функционирование в особом режиме, называемом беспорядочным (promiscuous), при использовании которого адаптер копирует в локальную память компьютера все без исключения передаваемые по сети кадры данных. Специализированные программы, переводящие сетевой адаптер в беспорядочный режим и собирающие весь трафик сети для последующего анализа, называются анализаторами протоколов.

Последние широко применяются администраторами сетей для осуществления контроля за работой этих сетей. К сожалению, анализаторы протоколов используются и злоумышленниками, которые с их помощью могут наладить перехват чужих паролей и другой конфиденциальной информации.

Анализаторы протоколов существуют для любой платформы. Но даже если окажется, что для какой-то платформы анализатор протоколов пока еще не написан, с угрозой, которую представляет атака на компьютерную систему при помощи анализатора протоколов, по-прежнему приходится считаться. Дело в том, что анализаторы протоколов подвергают анализу не конкретный компьютер, а протоколы. Поэтому анализатор протоколов может быть инсталлирован в любой сегмент сети и оттуда осуществлять перехват сетевого трафика, который в результате широковещательных передач попадает в каждый компьютер, подключенный к сети.

Наиболее частыми целями атак компьютерных взломщиков, которые те осуществляют посредством использования анализаторов протоколов, являются университеты. Хотя бы из-за огромного количества различных регистрационных имен и паролей, которые могут быть украдены в ходе такой атаки. Использование анализатора протоколов на практике не является такой уж легкой задачей, как это может показаться. Чтобы добиться пользы от анализатора протоколов, компьютерный взломщик должен обладать достаточными знаниями в области сетевых технологий. Просто установить и запустить анализатор протоколов на исполнение нельзя, поскольку даже в небольшой локальной сети из пяти компьютеров за час трафик составляет тысячи и тысячи пакетов. И следовательно, за короткое время выходные данные анализатора протоколов заполнят доступную память "под завязку". Поэтому компьютерный взломщик обычно настраивает анализатор протоколов так, чтобы он перехватывал только первые 200-300 байт каждого пакета, передаваемого по сети. Обычно именно в заголовке пакета размещается информация о регистрационном имени и пароле пользователя, которые, как правило, больше всего интересуют взломщика. Тем не менее, если в распоряжении взломщика достаточно пространства на жестком диске, то увеличение объема перехватываемого им трафика пойдет ему только на пользу и позволит дополнительно узнать много интересного.




Особую известность приобрели программные пакеты, предназначенные для защиты передаваемых по сети данных путем шифрования и объединенные присутствием в их названии аббревиатуры PGP, что означает Pretty Good Privacy.

Примечательно, что в семействе протокольных анализаторов есть достойные отечественные разработки. Яркий пример – многофункциональный анализатор Observer (разработка компании “ProLAN”).


Рис. 5. Интерфейс русского анализатора Observer.

Но, как правило, большинство анализаторов имеют куда более простой интерфейс и меньшее количество функций. Например, программа Ethereal.


Рис. 6. Интерфейс зарубежного анализатора Ethereal.

ЗАКЛЮЧЕНИЕ

ЛИТЕРАТУРА

1. Атака на Интернет. И.Д. Медведковский, П.В. Семьянов, Д.Г. Леонов. – 3-е изд., стер. – М.: ДМК, 2000

10. Документация на монитор RealSecure. Предоставлена производителем в электронном виде по запросу.

Развитию, росту глобальных сетей способствовал закон Меткалфа. Учёный утверждал: эффективность Ethernet пропорциональна квадрату числа пользователей. Отбросим математическую формулировку, приводя вывод: группа людей работоспособнее одиночки. Разумеется, можно приводить исключения, упоминая отдельных гениев, в частности, Николу Теслу, предсказавшего появления глобальных систем связи, однако факт остаётся фактом. Коллектив разработчиков быстрее справляется с задачей. Очевидность поддерживается создателями профессионального программного обеспечения, включая Майкрософт Офис. Растущие мощности требуют дальнейшей оптимизации, контроля.

Моделирование сетей

Отдельной строкой красуется моделирование пакетов. Современный проектировщик заранее оценивает работоспособность, преодолевая этап проектирования. В компьютерных сетях примерная производительность известна, методика стала палочкой-выручалочкой сотовых операторов. Инженеры выбирают топологию, протоколы сети, состав оборудования. Помогают решить задачу генераторы пакетов, попутно собирается статистика придуманной сети. Здесь активно помогают знания элементов теории вероятности. Следует правильно оценить распределение трафика, выбирая модели типовых законов (Пуассона, Эрланга, Парето).

Моделирование компьютерных пакетов

Моделированию подвергаются сети любого типа. Часто разработчики стандартов помогают проектировщикам, давая рекомендации. Сотовой связью занимается комитет 3GPP2. Организация рекомендует ряд типов генератора трафика. Сегодняшняя мобильная сеть мало уступает компьютерной, активно перенимая типичные протоколы, включая IP. Отличие ограничивается ярким делением направления движения информации:

  1. Натурные. Строится реальная живая сеть, подключённая аппаратура выдаёт информацию. Недостатком называют высокую стоимость, хотя фактор адекватности полученных измерений часто перевешивает.
  2. Имитационные. Будущая сеть в мелочах моделируется специальными программными пакетами (например, CISCO Packet Tracer). Имитируются условия перегрузки, потери кадров.
  3. Аналитические. Полностью метод ограничен виртуальным пространством, точность сравнительно низкая. Инженер закладывает формулы, математической статистики. Намного проще имитационного подхода.
  4. Комбинированные.

Имитация

ПО имитационной модели поддерживает ряд базовых устройств: концентраторы, коммутаторы, рабочие станции, ядро сотовых коммуникаций. Программист задаёт маски подсетей, адреса. Структура тщательно выбирается сообразно представленному перечню устройств. При необходимости отсутствующие элементы заменяют близкими аналогами. Иногда допускается упрощать физическую структуру сообразно целям проведения эксперимента. Полученная среда позволит полностью имитировать процессы, включая простой пинг персональных компьютеров, абонентов.

Компьютерное программирование

Использование статистики

Анализом компьютерной сети называют процесс обработки собранных данных, касающихся функционирования системы. Администратору важно знать слабые места, выявлять вовремя неисправности. Иногда средства контроля стоят обособленно, отдельным программным пакетом. В других случаях лишние денежные траты нецелесообразны. Поэтому набор методик анализа сильно варьируется. Процедура контроля образована двумя этапами:

  1. Мониторинг – сбор информации.
  2. Анализ – обработка сведений.

Этап мониторинга требует сбора информации, по большей части проходит автоматически. Проблема решается использованием датчиков, программного обеспечения. Анализ производит человек, используя опыт, обобщённый экспертами. Наработанные решения упрощают процесс анализа. Например, эксперты предлагают несколько критериев сбора статистики:

Обработка данных

Очевидно, характер ошибок тесно связан с топологией, протоколами. Приведённые сопровождают сети Ethernet. Соотношение групп дефектов иногда помогает выявить характер неисправности. Типичный процент ошибочных кадров ниже 0,01%. Наличие битых пакетов становится причиной снижения пропускной способности. Местонахождение неполадок выявляют, оценивая количество, тип коллизий:

  1. Локальная выступает результатом одновременной передачи пакетов несколькими сетевыми картами сегмента. Высокий показатель часто сопутствует повреждённому кабелю.
  2. Удалённая проникает извне контролируемого сегмента. В сетях Ethernet, сформированных многоповторными повторителями, 100% коллизий относится к данному типу.
  3. Поздняя (терминология Ethernet) обнаруживается после передачи 64 байт. Чаще позволяет локализовать неисправность, неработоспособность сетевого адаптера. Иногда причиной становится превышение длины кабельной системы, числа промежуточных повторителей.

Число коллизий нормально ниже 5%. Помимо указанных статистических цифр оборудование часто даёт:

  • Соотношение протоколов сетевого уровня. Наличие избытка ICMP сопровождает сигнализацию маршрутизаторов об ошибках.
  • Основные отправители/получатели.
  • Адреса генерации широковещательного трафика.

Структура методов контроля

Зачастую средства анализа, мониторинга пересекаются. Структура методик включает:

  • Системы управления (HP Open View, IBMNetView, SunNetManager) составляют ядро. Администратор дистанционно считывает конфигурацию, настраивает оборудование. Параллельно анализирует производительность. Правильно настроенная система пришлёт администратору по электронной почте уведомление: возникли неисправности, сбой. Доступны предупреждения на пейджер, мессенджер. Согласно определениям ISO, классификацией включаются:

SunNetManager

Отдельно диагностируется кабельное хозяйство, часть оборудования портативная. Виды методов:

  • Сетевые мониторы показывают параметры трафика. Порой захватывают несколько уровней иерархической системы OSI (физический, канальный, сетевой).
  • Кабельные сканеры оценивают состояние жил линии.
  • Устройства сертификации позволяют сдать проведённый монтаж заказчику, оценить классность сети.
  • Тестеры позволяют контролировать разрывы цепи.

Отдельные образцы техники многофункциональные, сочетают возможности тестеров, анализаторов протоколов:

  1. Графический пользовательский интерфейс.
  2. Сканирование линии.
  3. Распиновка жил, составление карты.
  4. Электрические параметры.
  5. Скорость распространения волны.
  6. Тестирование участков цепи с целью локализовать неисправность.
  7. Оценка работоспособности адаптера.
  8. Сбор статистики.
  9. Генерация дополнительного трафика с целью проверить пропускную способность линии. Сформированные пакеты позволяют оценить достижимость узла.

Анализирование компьютерной сети

Системы управления сетью

  • Программное обеспечение диагностики сети обладает качествами:
  • открытость;
  • масштабируемость;
  • распределённость.

Первоначально в историческом плане ключики забрал администратор. Королевский ПК содержал полностью работоспособную, самодостаточную версию ПО. Рабы-клиенты находились под пристальным присмотром. Наличие масштабной сети ломает принцип. Маломощный администраторский ПК перестаёт справляться. Иногда помогает наём команды сетевиков. Система контроля становится распределённой. Совместимость железа ведущих компаний оставляет желать лучшего. Возникают ошибки построения карты, дополнительные полезные функции оборудования игнорируются.

ПО каждого производителя демонстрирует определённые преимущества. Иначе давно наметился бы победитель, захвативший рынок целиком.

Программное обеспечение

Анализатор трафика (протокола)

Оценку трафика выполняют снифферы (англ. – обнюхивать). Средства (компонент WindowsNTPerformanceMonitor) осуществляют перехват любых пакетов, включая чужие. Поскольку Ethernet носит широковещательный оттенок, администратор получает полный контроль локального сегмента. Грамотно настроенный хаб выступает защитой против несанкционированного прослушивания. Коммутаторы отсекают уже на входе заведомо ненужные внешние адреса. Разбиение сети на сегменты сильно снижает нагрузку.

  1. Сбор аналитической информации (статистика): количество битых пакетов, перекрёстный трафик узлов, коэффициент использования сегмента.
  2. Сниффер часто опрашивает агентов различных сегментов.
  3. Графический интерфейс упрощает труд человека-оператора. Использование триггеров позволяет выставить условия начала, окончания захвата трафика. Пакеты фильтруют, отбрасывая заведомо ненужные.
  4. Отдельные анализаторы поддерживают шпионство за несколькими mac-адресами. Например, Network Monitor (Windows NT Server) версии выше четвертой.

Физический уровень мало порадует живого наблюдателя. Разрозненные кадры ненаглядны.

Методики

90-е годы считают пиком явления перехвата злоумышленниками паролей: некоторые сетевые протоколы забывали шифровать персональные данные пользователей. Хабы легко позволяли реализовать задуманное. Обнаружить факт кражи чрезвычайно сложно. Администратору перехват помогает выявить:

Анализ большого объёма трафика затруднителен.

Анализирование трафика

Сетевой анализатор

Сюда относят (например, систему Хьюлет-Паккард HP 4195A, 8510C) экспертное оборудование оценки работоспособности кабельного хозяйства путём измерения электрических параметров. Иногда захватывают иерархию протоколов. Особой формы сигналы позволяют оценить амплитудно-частотную характеристику линии, затухание, наводки. Методика сильно напоминает принцип действия оборудования оценки целостности высоковольтных кабелей. Хотя больших напряжений не требуется, поэтому механизм более миниатюрные (промышленные занимают фургон грузовика). Сетевой анализатор иногда способен выполнить ряд функций сниффера, но скорее вспомогательных. Базовые перехватчиков пакетов осуществляет индивидуально.

  • Перекрёстные наводки (NEXT) возникают меж проводами витой пары. Величина определена частотой, категорией кабеля. Выражена децибелами.
  • Импеданс (комбинация активного, реактивного сопротивлений). Действительная составляющая определяется материалом проводника, меньше зависит от частоты. Мнимая компонента образована влиянием реактивных составляющих (ёмкости, индуктивности). Волновое сопротивление характеризует тип линии. Связь с импедансом слабая.
  • Затухание обусловлено наличием волнового, активного сопротивлений. Скин-эффект провоцирует излучение части мощности, снижая характеристики системы: выше частота → тоньше слой → больше сопротивление → растут потери. Пятая категория кабелей демонстрирует значение 23,6 дБ/100 м.
  • Величина электромагнитного излучения. Экран сильно снижает выбросы энергии вовне.

Сканеры, тестеры

Указанный класс оборудования оценивает электрические параметры кабеля, длину, сильно уступает точностью сетевым анализаторам. Портативные варианты стали неотъемлемыми спутниками ремонтников. Оцениваются:

  1. Волновое сопротивление.
  2. NEXT.
  3. Затухание сигнала.
  4. Схема разводки.

Электрические параметры кабеля

Принцип действия

Повторяет методику высоковольтных приборов. Излучается импульс – ловится эхо. Количество, форма ответных сигналов позволяют оценить физическое состояние кабеля. Принцип потребует знания о скорости распространения сигнала внутри среды. Некоторые модели снабжены собственной базой данных, содержащей справочные сведения. Тестеры намного проще. Урезанный вариант алгоритма просто отвечает на вопрос о целостности кабеля, лишён подробностей.

Сканером принято измерять длину линии. Отдельные модели стоят весьма дорого (1-3 тыс. $). Выпускаются компаниями Datacom, Fluke, Microtest, Scope Communications.

Коммутаторы

Опытному инженеру многое расскажет поведение сетевого оборудования. Перегрузка процессоров, портов необратимо вызывает потерю кадров. Стандартные коммутаторы снабжают агентами, докладывающими о неполадках. Иначе задача отслеживания неполадок сильно усложняется. Проще эксплуатировать концентраторы: тестирующее оборудование вешают на свободный порт. Коммутаторы требуют последовательного включения (разрыв). Свободные порты получат только широковещательный трафик.

Дело усложняется наличием нескольких виртуальных сетей. Тогда оборудование получает пакеты лишь текущей (определено IP-адресом). Производители коммутаторов осознали недостаток устройств, модели стали снабжать функцией зеркалирования. Аппаратура отображает трафик на тестовый разъем. Затруднительным остаётся посмотреть пакеты сразу двух портов, либо одного, функционирующего в полнодуплексном режиме.

Сказанное объясняет предпочтение администраторов использования агентов. Переданная контрольной точке информация содержит полный перечень пакетов. RMON собирает трафик Ethernet, Token Ring, создаёт матрицы перекрёстного трафика. Здесь вопрос касается стоимости. Дорого отображать 9 объектов Ethernet, производители урезают список. Иногда упраздняют раздельное тестирование портов, объединяя их группами.

С развитием современных локальных (LAN) и глобальных (WAN) сетей, от знакомых нам когда-то анализаторов протоколов осталось только название. Первоначально разработанные для слежения за одноуровневыми (многоуровневой модели OSI и вложения протоколов тогда не существовало) глобальными сетями, работающими со скоростями передачи 9600 бит в секунду и менее, первые анализаторы протоколов были не более чем устройствами для захвата и декодирования сигнала. В содержимом декодированных фреймов (кадров) приходилось разбираться пользователю.
Современные анализаторы протоколов должны декодировать множество протоколов одновременно на скоростях немыслимых 10 лет назад. Помимо детального анализа протоколов современные приборы должны следить за сетью и собирать подробную статистику о ее работе. Последнее поколение анализаторов протоколов предоставляет возможность всестороннего слежения как за производительностью и загруженностью всей сети, так и за функционированием отдельного приложения индивидуального пользователя. Анализаторы протоколов имеют определенные преимущества перед другими технологиями: анализ и нахождение неисправностей по ходу работы, оценка производительности при планировании сети и решение проблем функционирования сетевых приложений, что недоступно для систем удаленного контроля и управления сетью.
Стоимость анализаторов протоколов колеблется от нескольких сотен до десятков тысяч долларов. С первого раза правильный выбор сделать нелегко, а посему, вооружимся знаниями.

Все фреймы на входе концентратора передаются на все задействованные порты. Это значит, что анализатор протоколов может быть подключен к любому свободному порту, и будет "видеть" все данные на входе концентратора.

Сложности возникают при использовании в сети коммутаторов (switch). Будучи более "разумным" устройством, чем "широковещательный" концентратор, коммутатор "знает" адреса устройств, подключенных к каждому порту, и передает фреймы только между требуемыми портами. Это позволяет разгрузить другие порты, не передавая на них каждый пакет, как это делает концентратор. В то же время, мы не можем подключить анализатор, поскольку порт занят исследуемым устройством.

Одним из способов решения этой проблемы является присоединение концентратора к порту коммутатора. Тогда трафик по этому порту будет передаваться одновременно и на анализатор протоколов и на устройство.
Если возможно, то концентратор лучше включать в последний используемый порт коммутатора. Порты коммутатора, подключенные к клиентам, обычно менее загружены, чем порты, подключенные к серверам.
Подключение программных анализаторов к коммутаторам сети Ethernet может быть выполнено с помощью концентратора. Этот тип соединения может не работать в некоторых дуплексных средах.

Некоторые программные анализаторы комплектуются специальными сетевыми адаптерами. По сравнению с обычными сетевыми адаптерами такие карты имеют улучшенные возможности по отслеживанию определенных параметров, например, таких как коллизии.
Эти адаптеры не следует путать с настоящими аппаратными анализаторами, поскольку для перехвата и анализа фреймов все еще применяется компьютер.

Когда необходима высокая производительность и подробный анализ протоколов и трафика, то тогда придется покупать аппаратный анализатор протоколов. Возросшие требования по мониторингу скоростного трафика удовлетворяются применением специализированной аппаратной схемы со встроенным программным обеспечением. В аппаратной схеме применяются процессоры, полностью посвященные задачам перехвата и анализа сетевых данных. В отличие от своих программных "братьев" характеристики перехвата и анализа фреймов у аппаратных анализаторов не зависят от производительности процессора компьютера.
Аппаратная фильтрация: высокопроизводительные фильтры.
Аппаратные анализаторы содержат специальные схемы, которые могут быть настроены для фильтрации по определенным условиям, как входящих, так и исходящих фреймов. Эти схемы позволяют избежать посылки на процессор сигналов прерывания, "предлагающих" ему заняться работой по фильтрации, и уменьшают или исключают возможность пропуска необходимых фреймов в сильно загруженных сетях.

Дополнительный функции:
Другой важной особенностью качественных аппаратных анализаторов является возможность мониторинга дуплексных сетей Ethernet. Многие сети, особенно те, в которых применяются коммутаторы, могут проверяться только аппаратными анализаторами, способными поддерживать дуплексный режим. Работа в дуплексном режиме не исключает возможности подключения аппаратного анализатора к стандартному порту концентратора.

Благодаря специализированным аппаратным схемам становится возможной разработка ПО, расширяющего возможности анализаторов. Это могут быть долговременный мониторинг приложений и экспертные системы, работающие в реальном времени. При покупке аппаратного анализатора, обращайте внимание на предоставляемые им возможности. Не все из них могут Вам понадобиться сегодня, но потребности меняются с развитием технологий и лучше сейчас немного переплатить за прибор, способный "расти" вместе с Вашей сетью, чем через несколько лет покупать новый.
Некоторые программные анализаторы поддерживают многосегментный анализ. При этом производится мониторинг более чем одного сегмента сети одновременно. Например, обе стороны маршрутизатора, локальная и глобальная, могут отслеживаться одновременно для анализа трафика, проходящего через маршрутизатор. Если Вы сталкиваетесь с неисправностями маршрутизации, коммутирования и временными задержками, то многосегметный анализ поможет проверить правильность маршрутизации или коммутации и обнаружить чрезмерные задержки при передаче пакетов.
Архитектура: концепции построения.
Аппаратные анализаторы бывают двух основных типов. В первом случае анализатор представляет собой самодостаточный прибор, в котором содержится все необходимое для работы: от интерфейсных карт до клавиатуры и дисплея. Недостатком такого подхода является отсутствие гибкости: возможности ограничены предусмотренным набором, модернизация прибора и адаптация к новым технологиям затруднены.
Во втором случае анализатор изготавливается в виде отдельного блока, который подключается к персональному компьютеру (ноутбуку). Это позволяет использовать уже имеющийся компьютер для управления анализатором. Полученная информация сохраняется на жестком диске компьютера и может быть просмотрена позже без необходимости включения анализатора. Облегчается передача информации в расположенные на компьютере приложения по составлению отчетов и отсылка этой информации по электронной почте.
Другое преимущество внешнего анализатора, управляемого компьютером, заключается в его стоимости. Производитель анализаторов со встроенным компьютером тратит время и деньги на разработку компьютера, в то время как, возможно, компьютер даже с лучшими параметрами у Вас уже есть.
Некоторые производители делают сетевые адаптеры, которые в действительности представляют собой аппаратные анализаторы. Обычно они выполнены в виде PCI-карты и содержат процессор и другие цепи, предназначенные для выполнения анализа. Это не значит, что все PCI-анализаторы являются аппаратными. Отличить аппаратный анализатор от программного можно по месту сбора и обработки данных.

В силу специфики работы глобальных сетей программных анализаторов для них не существует.
По своей природе глобальные сети двунаправлены. Это значит, что аппаратура передачи данных (data communications equipment, DCE) и оконечное оборудование (data terminal equipment, DTE) имеют один приемник и один передатчик. Кроме того, для приложений WAN часто необходим специализированный интерфейс, учитывающий множество скоростей и оконечных устройств. Для мониторинга трафика в обоих направлениях анализатор должен следить как за стороной передачи, так и за стороной приема. Для этого необходимо иметь два приемника. Обычно подключение WAN-анализатора выполняется “Y” кабелем.

При слежении за трафиком WAN-анализатор должен "понимать" различные типы инкапсуляций (вложений протоколов), применяемых в сети. Таких как PPP, frame relay, SDLC и т.д. Помните, что Ваша сеть может измениться, поэтому WAN-анализатор должен легко модернизироваться.
При покупке WAN-анализатора необходимо рассматривать его совместимость с LAN-анализатором. Если в будущем Вам понадобится LAN-анализатор, то лучше чтобы оборудование было сделано по общему принципу, работало "в команде". В этом случае возможности анализа у такой пары будут выше, чем у суммы разнородных приборов. Обращайте внимание на такие инструменты, как декодирующие протокол приложения и согласующийся вид графиков и диаграмм на LAN и WAN-анализаторах.
Распределенные анализаторы.
Распределенные анализаторы предназначены для проведения анализа в ключевых точках по всей сети. Идея состоит в том, чтобы разместить анализаторы в различных сегментах сети и управлять ими удаленно, из одного места.
Распределенные анализаторы могут быть как аппаратными, так и программными для локальных сетей, и только аппаратными для глобальных.
Программные анализаторы часто размещают на компьютерах пользователей и в случае необходимости запускают их в фоновом режиме. Работникам информационно-управляющей системы (MIS) надо только подключиться и запустить анализатор. В зависимости от потребностей количество "агентов" распределенного анализатора может составлять от двух до нескольких сотен.
При выборе компьютеров для размещения "агентов" следует руководствоваться определенными соображениями. Выбирайте компьютеры, которые не будут выключены. Некоторые пользователи устанавливают компьютеры, полностью посвященные работе приложений анализатора. Это гарантирует постоянный доступ и исключает возможность изменения конфигурации таким образом, что это остановит работу "агента". Кроме того, характеристики анализатора будут лучше, если на компьютере одновременно не будут запускаться конкурирующие приложения.
Блоки аппаратного анализатора размещают в различных местах по всей сети. Аппаратные анализаторы часто применяются как для обычного мониторинга сети, так и для анализа. Текущее состояние сети можно сравнивать с данными собранными ранее, что позволяет увидеть отклонения в степени загруженности сети и принять меры раньше, чем возникнут проблемы.
Если Вы собираетесь устанавливать распределенный анализатор в сети, то продумайте способ подключения и управления блоками. Помимо подключения через локальную сеть надо предусмотреть подключение по телефонной линии. Распределенный анализатор, к которому невозможно подключиться по причине выхода сети из строя, принесет мало пользы.
Распределенный аппаратный анализатор должен поддерживать метод сегментированной коммутации.
Задействуя матричные коммутаторы, пользователь может подключить анализатор к множеству портов концентратора или коммутатора и удаленно выбирать порт для мониторинга. Это исключает необходимость покупки большого количества анализаторов. Матричные коммутаторы доступны для поддержки всех видов локальных и глобальных сетей.
Многие пользователи выбирают комбинацию аппаратных и программных анализаторов в распределенной системе. Аппаратные анализаторы размещают в критически важных участках, таких как магистраль Ethernet или линия ATM или frame relay глобальной сети. Они дополняются распределенными программными анализаторами, работающими на компьютерах, подключенных к менее критическим участкам Ethernet. Убедитесь, что ключевые приложения, такие как механизм декодирования протоколов, работают одинаково как в аппаратном, так и в программном анализаторах.
Часто программные анализаторы размещают на компьютерах пользователей в ключевых сегментах по всей сети, а аппаратные анализаторы устанавливают возле маршрутизаторов и коммутаторов в помещении для оборудования. Этот способ выгоден тем, что обеспечивает низкую стоимость анализа индивидуальных сегментов и, в то же время, помещает мощь аппаратных анализаторов в то место, где от них будет максимум пользы.

Многие администраторы сетей часто сталкиваются с проблемами, разобраться с которыми поможет анализ сетевого трафика. И здесь мы сталкиваемся с таким понятием, как анализатор трафика. Так что же это такое?


Анализаторы и коллекторы NetFlow — это инструменты, которые помогают отслеживать и анализировать данные сетевого трафика. Анализаторы сетевых процессов позволяют точно определить устройства, из-за которых снижается пропускная способность канала. Они умеют находить проблемные места в вашей системе, и повышать общую эффективность сети.

Программное обеспечение NetFlow собирает и анализирует данные потоков, генерируемых маршрутизаторами, и представляет их в удобном для пользователей формате.

Несколько других поставщиков сетевого оборудования имеют свои собственные протоколы для мониторинга и сбора данных. Например, Juniper , другой весьма уважаемый поставщик сетевых устройств, называет свой протокол « J-Flow «. HP и Fortinet используют термин « s-Flow «. Несмотря на то, что протоколы называются по-разному, все они работают аналогичным образом. В этой статье мы рассмотрим 10 бесплатных анализаторов сетевого трафика и коллекторов NetFlow для Windows .

Мониторинг сетевого трафика — 10 лучших бесплатных анализаторов и коллекторов

SolarWinds Real-Time NetFlow Traffic Analyzer

SolarWinds Real-Time NetFlow Traffic Analyzer

Free NetFlow Traffic Analyzer является одним из наиболее популярных инструментов, доступных для бесплатного скачивания. Он дает возможность сортировать, помечать и отображать данные различными способами. Это позволяет удобно визуализировать и анализировать сетевой трафик. Инструмент отлично подходит для мониторинга сетевого трафика по типам и периодам времени. А также выполнение тестов для определения того, сколько трафика потребляют различные приложения.

Этот бесплатный инструмент ограничен одним интерфейсом мониторинга NetFlow и сохраняет только 60 минут данных. Данный Netflow анализатор является мощным инструментом, который стоит того, чтобы его применить.

Colasoft Capsa Free

Colasoft Capsa Free

Этот бесплатный анализатор трафика локальной сети позволяет идентифицировать и отслеживать более 300 сетевых протоколов, и позволяет создавать настраиваемые отчеты. Он включает в себя мониторинг электронной почты и диаграммы последовательности TCP-синхронизации , все это собрано в одной настраиваемой панели.

Другие функции включают в себя анализ безопасности сети. Например, отслеживание DoS/DDoS-атак , активности червей и обнаружение ARP-атак . А также декодирование пакетов и отображение информации, статистические данные о каждом хосте в сети, контроль обмена пакетами и реконструкция потока. Capsa Free поддерживает все 32-битные и 64-битные версии Windows XP .

Минимальные системные требования для установки: 2 Гб оперативной памяти и процессор 2,8 ГГц. У вас также должно быть соединение с интернет по сети Ethernet ( совместимой с NDIS 3 или выше ), Fast Ethernet или Gigabit с драйвером со смешанным режимом. Он позволяет пассивно фиксировать все пакеты, передаваемые по Ethernet-кабелю .

Angry IP Scanner

Angry IP Scanner

Это анализатор трафика Windows с открытым исходным кодом, быстрый и простой в применении. Он не требует установки и может быть использован на Linux , Windows и Mac OSX . Данный инструмент работает через простое пингование каждого IP-адреса и может определять MAC-адреса , сканировать порты, предоставлять NetBIOS-информацию , определять авторизованного пользователя в системах Windows , обнаруживать веб-серверы и многое другое. Его возможности расширяются с помощью Java-плагинов . Данные сканирования могут быть сохранены в файлы форматов CSV, TXT, XML .

ManageEngine NetFlow Analyzer Professional

ManageEngine NetFlow Analyzer Professional

Полнофункциональная версия программного обеспечения NetFlow от ManageEngines . Это мощное программное обеспечение с полным набором функций для анализа и сбора данных: мониторинг пропускной способности канала в режиме реального времени и оповещения о достижении пороговых значений, что позволяет оперативно администрировать процессы. Кроме этого предусмотрен вывод сводных данных по использованию ресурсов, мониторинг приложений и протоколов и многое другое.

Бесплатная версия анализатора трафика Linux позволяет неограниченно использовать продукт на протяжении 30 дней, после чего можно производить мониторинг только двух интерфейсов. Системные требования для NetFlow Analyzer ManageEngine зависят от скорости потока. Рекомендуемые требования для минимальной скорости потока от 0 до 3000 потоков в секунду: двухъядерный процессор 2,4 ГГц, 2 Гб оперативной памяти и 250 Гб свободного пространства на жестком диске. По мере увеличения скорости потока, который нужно отслеживать, требования также возрастают.

The Dude

The Dude

Это приложение представляет собой популярный сетевой монитор, разработанный MikroTik . Он автоматически сканирует все устройства и воссоздает карту сети. The Dude контролирует серверы, работающие на различных устройствах, и предупреждает в случае возникновения проблем. Другие функции включают в себя автоматическое обнаружение и отображение новых устройств, возможность создавать собственные карты, доступ к инструментам для удаленного управления устройствами и многое другое. Он работает на Windows , Linux Wine и MacOS Darwine .

JDSU Network Analyzer Fast Ethernet

JDSU Network Analyzer Fast Ethernet

Приложение поддерживает создание графиков и таблиц с высокой детализацией, которые позволяют администраторам отслеживать аномалии трафика, фильтровать данные, чтобы просеивать большие объемы данных, и многое другое. Этот инструмент для специалистов начального уровня, а также для опытных администраторов, позволяет полностью взять сеть под контроль.

Plixer Scrutinizer

Plixer Scrutinizer

Wireshark

Wireshark

Wireshark — это мощный сетевой анализатор может работать на Linux , Windows , MacOS X , Solaris и других платформах. Wireshark позволяет просматривать захваченные данные с помощью графического интерфейса, или использовать утилиты TTY-mode TShark . Его функции включают в себя сбор и анализ трафика VoIP, отображение в режиме реального времени данных Ethernet , IEEE 802.11 , Bluetooth , USB , Frame Relay , вывод данных в XML , PostScript , CSV , поддержку дешифрования и многое другое.

Системные требования: Windows XP и выше, любой современный 64/32-битный процессор, 400 Mb оперативной памяти и 300 Mb свободного дискового пространства. Wireshark NetFlow Analyzer — это мощный инструмент, который может существенно упростить работу любому администратору сети.

Paessler PRTG

Paessler PRTG

Этот анализатор трафика предоставляет пользователям множество полезных функций: поддержку мониторинга LAN , WAN , VPN , приложений, виртуального сервера, QoS и среды. Также поддерживается мониторинг нескольких сайтов. PRTG использует SNMP , WMI , NetFlow , SFlow , JFlow и анализ пакетов, а также мониторинг времени бесперебойной работы/простоя и поддержку IPv6 .

Бесплатная версия дает возможность использовать неограниченное количество датчиков в течение 30 дней, после чего можно бесплатно использовать только до 100 штук.

nProbe

nProbe

Это полнофункциональное приложение с открытым исходным кодом для отслеживания и анализа NetFlow .

nProbe поддерживает IPv4 и IPv6 , Cisco NetFlow v9 / IPFIX , NetFlow-Lite , содержит функции анализа VoIP трафика, выборки потоков и пакетов, генерации логов, MySQL/Oracle и DNS-активности , а также многое другое. Приложение является бесплатным, если вы анализатор трафика скачиваете и компилируете на Linux или Windows . Исполняемый файл установки ограничивает объем захвата до 2000 пакетов. nProbe является полностью бесплатным для образовательных учреждений, а также некоммерческих и научных организаций. Данный инструмент будет работать на 64-битных версиях операционных систем Linux и Windows .

Этот список из 10 бесплатных анализаторов трафика и коллекторов NetFlow поможет вам приступить к мониторингу и устранению неисправностей в небольшой офисной сети или обширной, охватывающей несколько сайтов, корпоративной WAN-сети .

Каждое представленное в этой статье приложение дает возможность контролировать и анализировать трафик в сети, обнаруживать незначительные сбои, определять аномалии пропускного канала, которые могут свидетельствовать об угрозах безопасности. А также визуализировать информацию о сети, трафике и многое другое. Администраторы сетей обязательно должны иметь в своем арсенале подобные инструменты.

Читайте также: