Principios simples y clasificación de aplicaciones de analizadores de protocolos
Analizar la forma en que los paquetes viajan a través de una red depende en gran medida del equipo que tengas a mano. En las primeras etapas del desarrollo de la tecnología de redes (la era de las redes compartidas usando HUB o hubs), la respuesta era simple: simplemente conectar la línea a un hub y todo estaba hecho: usar un analizador de protocolos.
Un analizador de protocolos es un dispositivo que puede capturar paquetes de red. El uso legítimo de un analizador de protocolos es capturar y analizar el tráfico de la red para identificar posibles problemas en la red en cuestión. Por ejemplo, supongamos que una determinada sección de la red no funciona muy bien, el envío de mensajes es lento y no sabemos dónde radica el problema. En este momento, podemos utilizar un analizador de protocolos para hacer un juicio preciso. del problema.
Los analizadores de protocolos varían en funcionalidad y diseño. Algunos sólo pueden analizar un protocolo, mientras que otros son capaces de analizar cientos de protocolos. En general, la mayoría de los rastreadores pueden analizar al menos los siguientes protocolos:
Ethernet
TCP/IP
IPX
DECNet
Otros...
Los analizadores de protocolos suelen ser una combinación de software y hardware. Generalmente utilizan hardware dedicado o una tarjeta de red configurada en un modo dedicado para capturar datos en la red. El método de capturar información de datos transmitida en la red se llama rastreo.
El protocolo Ethernet envía información de paquetes de datos a todos los hosts en el mismo bucle. El encabezado del paquete contiene la dirección correcta del host de destino. Normalmente sólo el host con esta dirección aceptará este paquete. Si un host puede recibir todos los paquetes independientemente del contenido del encabezado del paquete, esto a menudo se denomina modo "promiscuo" (modo P). Esta es la base para que el analizador de protocolos capture datos. Se genera mediante la forma de compartir la red.
Con los conmutadores Ethernet actuales, la respuesta está empezando a ser "depende". Por diseño, la mayoría de los conmutadores no permiten a los usuarios ver el tráfico desde los servidores a las estaciones de trabajo distintas a aquella en la que están trabajando. De hecho, esta situación puede resolverse mediante tecnología de mapeo de puertos. Específicamente, el flujo de transmisión enviado a un puerto del conmutador se copia a otro puerto. Sin embargo, cabe señalar que los conmutadores actuales se dividen en conmutadores gestionables y conmutadores no gestionables. Los conmutadores no gestionables son más baratos que los conmutadores gestionables, pero normalmente carecen de la capacidad de realizar mapeo de puertos. Aunque algunos conmutadores afirman ser manejables, es posible que en realidad solo admitan SNMP y no tengan capacidades de mapeo de puertos. Esta es una pregunta importante que debe hacerse al comprar un nuevo conmutador para su red.
Si el switch del usuario no admite el mapeo de puertos, existen formas de solucionarlo. Estos métodos se utilizan más comúnmente para el análisis de protocolos en un entorno conmutado:
Método económico y conveniente: se puede instalar un concentrador entre la estación de trabajo bajo prueba y la red. Conecte un analizador de protocolos a este concentrador y observe el tráfico en ambas direcciones.
Método costoso y profesional: utilice una caja de interfaz de prueba (TAP) Ethernet profesional instalada en línea en la red bajo prueba para ver las conversaciones en una dirección sin realizar filtrado adicional dentro del analizador que se está utilizando. Esto significa que los usuarios no pueden ver todas las sesiones al mismo tiempo, por lo que es posible que se necesiten algunas capturas de paquetes adicionales para obtener una imagen completa.
El analizador de protocolos era originalmente una herramienta común para los ingenieros de redes, pero también es muy común que la gente lo utilice para otros fines. Los piratas informáticos de hoy dominan el uso de potentes analizadores de protocolos, que son dos caras de la misma herramienta.
Para aquellos que pueden usar el analizador de protocolos, sus derechos son muy grandes. Si usan esto para hacer algo, será difícil detenerlos. Esta herramienta es útil y perjudicial desde el punto de vista de la seguridad. Al igual que un cuchillo, depende de quién lo sostenga. ……
El contenido anterior está compilado del "Foro de mantenimiento de redes de Anheng"
El trabajo del analizador de protocolos se puede dividir en principio en dos partes: recopilación de datos y datos. captura, análisis de protocolo. En términos de forma de implementación, estas dos partes del trabajo tienen las siguientes formas comunes:
Sistema de análisis de protocolo de software puro, como OptiView-PE de Fluke.
La mayoría de los analizadores de protocolos de software puro pueden utilizar tarjetas de red ordinarias para completar un trabajo simple de recopilación de datos. Este es el software de análisis de protocolos + tarjeta de red de PC más utilizado. Este tipo de analizador de protocolos suele existir por dos motivos.
①Software simple y económico, o software gratuito, pequeño y práctico, con funciones débiles.
②La parte del software del analizador de protocolos que se ejecuta en una PC o cita esta computadora, originalmente análisis de protocolos. El trabajo se basa en el análisis de software. Por lo tanto, la parte del software incluso del analizador de protocolos más avanzado debe implementarse mediante una plataforma informática.
Analizador de protocolos portátil basado en notebook + caja de adquisición de datos
La principal diferencia entre este método y el software de análisis de protocolos + tarjeta de red para PC mencionado anteriormente es que el sistema de adquisición de datos dedicado es se utiliza para complejos y Para capturar la velocidad completa de la línea o realizar un filtrado de datos en tiempo real de manera más efectiva en enlaces de red de alta velocidad, es necesario utilizar un método de recopilación de datos dedicado.
Analizador de protocolos integral de mano
Desde la perspectiva del desarrollo del analizador de protocolos, el personal de mantenimiento de la red necesita cada vez más utilizar métodos de prueba y análisis de red potentes y capaces de integrar una variedad de métodos. En este método, la extensión de función de un analizador de protocolo típico es agregar una función de administración de red, una función de recopilación automática de información de red, una función de diagnóstico inteligente de fallas por parte de expertos y el rendimiento móvil debe ser efectivo. Este tipo de analizador de protocolo integral o analizador de red integral se ha convertido en la principal tendencia de desarrollo de los probadores y mantenimiento de redes actuales. Desde su lanzamiento, OptiView INA de Fluke ha ganado una popularidad considerable en el análisis in situ de redes, el diagnóstico de fallas y los métodos de mantenimiento de redes. gama de aplicaciones y desarrollos.
Analizador de protocolos distribuidos
Con el aumento en la escala del mantenimiento de la red y los cambios en la tecnología de la red, cada vez es más difícil recopilar datos clave de la red. A veces, para analizar y recopilar datos, es necesario recopilar datos en diferentes lugares al mismo tiempo. Por lo tanto, el sistema de recopilación de datos del analizador de protocolos es independiente y se puede colocar en diferentes lugares de la plataforma del analizador de protocolos. Puede controlar múltiples recolectores Gestión y procesamiento de datos, este modelo de aplicación dio origen al analizador de protocolo distribuido. Normalmente el coste de este método será muy elevado.