Zastosowania analizatorów

Gdy możliwe jest przechwytywanie ruchu w czasie rzeczywistym lub zapisywanie przechwyconego ruchu do plików, analizator podejmuje określone akcje względem tego ruchu. Pierwszą czynnością jest z pewnością filtracja, w celu redukcji ilości danych niezbędnych do analizy. Zebrane informacje są dekodowane przez analizator do postaci zrozumiałej dla operatora systemu. Analizator potrafi automatycznie wykryć pewne typy problemów sieciowych i określić główne źródło ich powstawania. Część analizatorów potrafi dodatkowo generować ruch i działać jako tester sieci. Ciekawsze zastosowania analizatorów to sprawdzanie problemów sieciowych, monitorowanie wykorzystania sieci, analiza protokołów sieciowych i poprawnej pracy serwerów, wykrywanie i redukowanie zainfekowanych stacji sieciowych, badanie implementacji protokołów sieciowych, badanie efektywności wewnętrznych systemów kontroli (list dostępu, filtrów, zapór ogniowych) i wiele innych. Kluczową funkcjonalnością analizatora jest po prostu dekodowanie protokołów sieciowych w różnych warstwach sieci modeli OSI.

Wybierając analizator protokołów, należy skupić się na kilku elementach. Pierwszym z nich jest wspierany interfejs sieci (warto pamiętać, że np. analiza światłowodowych technologii WAN wymaga użycia analizatora sprzętowego). Kolejny to ustalenie zakresu analizy - oprogramowanie powinno wspierać analizę możliwie największej liczby protokołów, ale może także wspierać rekonstrukcję pakietów lub analizę ekspercką zebranych danych. Warto sprawdzić, jakie protokoły będzie obsługiwał analizator - minimalna i najpopularniejsza implementacja to wsparcie dla TCP/IP. Dobrze byłoby, aby analizator obsługiwał filtry pozwalające ograniczyć ilość zbieranych danych. Ciągła analiza ruchu może wygenerować mnóstwo danych, przez co konieczne stanie się zaangażowanie systemów dyskowych do ich magazynowania. Warto sprawdzić, jak jest realizowane raportowanie - z pewnością powinien być dostępny plik tekstowy dziennika zdarzeń, ale także statystyki w czasie rzeczywistym.

Bolączką wielu systemów jest niestety dość skomplikowana obsługa, która bez odpowiedniego szkolenia może być bardzo trudna. Przy braku doświadczenia w pracy z analizatorem warto sprawdzić, czy istnieje opcja, która pozwala na wykorzystanie modułu analizującego zebrane informacje. Wybór analizatora jest także związany z architekturą monitorowanej infrastruktury. Przypadek, w którym analizator jest uruchamiany okazjonalnie do analizy określonego segmentu sieci, jest jednym z wielu. Istnieją także instalacje stałe, które monitorują ruch w wielu istotnych punktach rozproszonej sieci. Rozproszone analizatory protokołów zazwyczaj składają się z sond monitorujących, umieszczonych w różnych punktach sieci oraz oprogramowania centralnie zbierającego dane ze wszystkich sond w centrum operacyjnym, lecz koszty tego typu systemów są ogromne. To jednak duże kombajny, które wspierają również protokoły monitorowania SNMP oraz RMON.

Popularne, duże analizatory protokołów dostarczane są m.in. przez firmy NetScout i Agilent Technologies. Jest też sporo aplikacji komercyjnych (CommView, WildPacket Etherpeak, Javvin) jak i bezpłatnych (WireShark, CAPSA, tcpdump, dsniff, Microsoft Network Monitor).