Patrzenie w kabel

EtherPeek umożliwia monitorowanie pakietów przesyłanych w sieci Ethernet.

EtherPeek umożliwia monitorowanie pakietów przesyłanych w sieci Ethernet.

AG Group udostępnia na swoim serwerze WWW testową wersję oprogramowania EtherPeek 2.0. Choć jego możliwości pozwalają monitorować sieć przez 5 minut w jednej sesji, bez funkcji zapisywania zgromadzonych danych oraz wysyłania pakietów testowych, daje to dobre wyobrażenie o pełnej funkcjonalności pakietu.

W pracy każdego administratora pojawia się potrzeba dokładniejszego niż zwykle przyjrzenia się danym przesyłanym przez sieć komputerową. Przeprowadzenie takiej analizy pozwala bowiem ustalić "wąskie gardła" w sieci, zlokalizować niepoprawnie działające urządzenie sieciowe bądź nadmierną liczbę ramek tworzonych przez drugorzędny protokół. Aby jednak przeprowadzić kompleksowe badanie sieci, należy dysponować specjalnym urządzeniem (analizatorem pakietów) lub oprogramowaniem. Często także producenci proponują zestaw: dedykowany skaner sieciowy i specjalne oprogramowanie, współpracujące z nim, umożliwiające przeglądanie zgromadzonych danych na wiele sposobów.

Rozwiązania takie mają jednak jedną wadę - są drogie, co zniechęca do ich nabycia, zwłaszcza że większość administratorów stosuje je sporadycznie. Jednym z nielicznych wyjątków jest pakiet EtherPeek 2.0, mało znanej w Polsce firmy AG Group. Jest rozwiązaniem w całości programowym, oferującym wiele funkcji. Jego zaletą jest praca na dowolnym komputerze wyposażonym w system operacyjny Windows 95 lub Windows NT 4.0.

EtherPeek 2.0 w ograniczonej, demonstracyjnej wersji dostępny jest bezpłatnie. Pełna wersja produktu kosztuje ok. 1000 USD, ale i tak mniej niż należy zapłacić za rozwiązania oferowane przez uznanych producentów sprzętu sieciowego. Rozwiązania programowe mają jednak wadę - do poprawnej pracy wymagają wydajnych komputerów PC z szybką kartą sieciową, choć i wtedy nie gwarantują tak szybkiego monitorowania pakietów przesyłanych siecią, jak dedykowane sondy sprzętowe.

Jednak większość administratorów nie zwraca uwagi na szczegóły - są zainteresowani uzyskaniem pełnego obrazu sieci komputerowej, czyli tego, jakie protokoły wytwarzają w niej największe obciążenie i jakie stacje są za to odpowiedzialne. Rozwiązanie programowe zaspokaja ich wymagania, pozwalając im zaoszczędzić pieniądze, które musieliby zapłacić za sondę sprzętową.

Pakiety na ekranie

Testowanie oprogramowania przeprowadzono, instalując je na serwerze Windows NT 4.0 i stacji roboczej z Windows 95. Serwer, podłączony do sieci za pośrednictwem karty Fast Ethernet, w tym samym czasie (5 minut) potrafił "wyłapać" prawie trzykrotnie więcej pakietów niż stacja z Windows 95 podłączona za pośrednictwem standardowego Ethernetu (zarówno serwer, jak i komputer zbudowano w zbliżonej konfiguracji). Program bez problemu współpracował z kartami sieciowymi firm 3Com i Intel.

Po krótkiej instalacji, EtherPeek umożliwia monitorowanie ruchu w sieci lokalnej oraz dokładną analizę każdego przesyłanego przez nią pakietu. Aplikacja kopiuje pakiety z sieci bezpośrednio do pamięci RAM, z pominięciem dysku twardego komputera. Ma to na celu uniknięcie dodatkowych opóźnień związanych z zapisywaniem danych na dysk, a co za tym idzie - zmniejszenia częstotliwości próbkowania sieci. Im więcej komputer ma pamięci RAM, tym więcej danych można zgromadzić podczas jednego "nasłuchu" sieci. Po zapełnieniu całej pamięci, zebrane dane mogą być zapisane na dysk twardy do wykonania późniejszej analizy - np. dokładnej oceny każdego pakietu lub tworzenia statystyki, dotyczącej pracy sieci. Możliwe jest też takie skonfigurowanie programu, by automatycznie nagrywał on wszystkie dane w chwili zapełnienia bufora, po czym czyścił go i kontynuował "nasłuch".

Użytkownik może ustalić wiele parametrów, które pozwalają np. wyławiać z sieci tylko interesujące go pakiety (filtrowanie). Można również ustawić specjalne kryteria, powodujące automatyczne włączanie i wyłączanie buforowania pakietów przesyłanych siecią. Przykładowo, jeśli w sieci pojawi się pakiet adresowany do konkretnej stacji, może zostać włączony proces buforowania i po kilkunastu sekundach może on być automatycznie zatrzymany. Pozwala to administratorowi w prosty sposób kontrolować wybrane dane, dotyczące niektórych stacji roboczych.

EtherPeek 2.0 ma rozbudowane możliwości tworzenia statystyk z wykorzystaniem stacji nadawczych i odbiorczych oraz konkretnych protokołów sieciowych. Pokazują one w postaci wykresów i procentowo udział poszczególnych stacji roboczych i konkretnych ramek w komunikacji sieciowej. Dane można dowolnie skalować, sortować i filtrować. Jedyną wadą jest brak możliwości drukowania statystyk i formatowania danych do wydruku. Funkcja ta ma być dostępna dopiero w kolejnych wersjach produktu.

Niemniej dane generowane przez EtherPeek można w prosty sposób przenosić do innych aplikacji monitorujących pracę sieci. EtherPeek pozwala je zapisać w formatach zgodnych ze Snifferem firmy Network Associate i LANalyzerem Novella. Może on także odczytywać dane tworzone przez te aplikacje, co znacznie usprawnia pracę administratora, który wykorzystuje EtherPeeka w połączeniu z droższym analizatorem pakietów.

Symulowane pakiety

Pakiet ma kolejną przydatną funkcję - umożliwia wysyłanie w sieć specjalnych pakietów, pozwalających na sprawdzenie, jak zachowują się otrzymujące je stacje robocze, pracujące w sieci. Dołączone do aplikacji narzędzia pozwalają dowolnie modyfikować zawartość pakietu, dzięki czemu administrator może symulować pewne zjawiska występujące w sieci i wymuszać na stacjach sieciowych konkretne odpowiedzi.

Generowane pakiety mogą być wysyłane pojedynczo bądź seriami. Możliwe jest też wysyłanie przygotowanych wcześniej i nagranych serii różnych pakietów. Jest to przydatne przy testowaniu poprawności pracy poszczególnych komputerów i np. sprawdzania ich odporności na najnowsze sposoby atakowania przez sieć (np. opisywany wcześniej Land Attack).

Warto spróbować

Dzięki niskiej cenie, pracy na najpopularniejszych platformach systemowych oraz bardzo dobrych możliwościach, EtherPeek jest rozwiązaniem, które należy polecić każdemu administratorowi sieci, przywiązującemu wagę do jej optymalnego funkcjonowania. Pakiet pozwala znaleźć anormalne zachowania sieci, związane z przesyłanymi przez nią danymi, i umożliwia znalezienie ich przyczyny.