Jak rozpoznać problemy sieciowe
- Kamil Folga,
- 10.05.2013
Zastosowania analizatorów
Gdy możliwe jest przechwytywanie ruchu w czasie rzeczywistym lub zapisywanie przechwyconego ruchu do plików, analizator podejmuje określone akcje względem tego ruchu. Pierwszą czynnością jest z pewnością filtracja, w celu redukcji ilości danych niezbędnych do analizy. Zebrane informacje są dekodowane przez analizator do postaci zrozumiałej dla operatora systemu. Analizator potrafi automatycznie wykryć pewne typy problemów sieciowych i określić główne źródło ich powstawania. Część analizatorów potrafi dodatkowo generować ruch i działać jako tester sieci. Ciekawsze zastosowania analizatorów to sprawdzanie problemów sieciowych, monitorowanie wykorzystania sieci, analiza protokołów sieciowych i poprawnej pracy serwerów, wykrywanie i redukowanie zainfekowanych stacji sieciowych, badanie implementacji protokołów sieciowych, badanie efektywności wewnętrznych systemów kontroli (list dostępu, filtrów, zapór ogniowych) i wiele innych. Kluczową funkcjonalnością analizatora jest po prostu dekodowanie protokołów sieciowych w różnych warstwach sieci modeli OSI.
Bolączką wielu systemów jest niestety dość skomplikowana obsługa, która bez odpowiedniego szkolenia może być bardzo trudna. Przy braku doświadczenia w pracy z analizatorem warto sprawdzić, czy istnieje opcja, która pozwala na wykorzystanie modułu analizującego zebrane informacje. Wybór analizatora jest także związany z architekturą monitorowanej infrastruktury. Przypadek, w którym analizator jest uruchamiany okazjonalnie do analizy określonego segmentu sieci, jest jednym z wielu. Istnieją także instalacje stałe, które monitorują ruch w wielu istotnych punktach rozproszonej sieci. Rozproszone analizatory protokołów zazwyczaj składają się z sond monitorujących, umieszczonych w różnych punktach sieci oraz oprogramowania centralnie zbierającego dane ze wszystkich sond w centrum operacyjnym, lecz koszty tego typu systemów są ogromne. To jednak duże kombajny, które wspierają również protokoły monitorowania SNMP oraz RMON.
Popularne, duże analizatory protokołów dostarczane są m.in. przez firmy NetScout i Agilent Technologies. Jest też sporo aplikacji komercyjnych (CommView, WildPacket Etherpeak, Javvin) jak i bezpłatnych (WireShark, CAPSA, tcpdump, dsniff, Microsoft Network Monitor).