Download
lekc07 n.
Skip this Video
Loading SlideShow in 5 Seconds..
Lekc07 PowerPoint Presentation

Lekc07

249 Vues Download Presentation
Télécharger la présentation

Lekc07

- - - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

  1. Lekc07 Protokoluanalizatori (piem., EtherPeek)

  2. Protokolu analīze • Protokolu analīze (protocol analysis) vai tīklu analīze (network analysis) – tas ir process, kurā veic: • pakešu pārtveršanu, • statistikas vākšanu • Pakešu atšifrēšanu (decoding) • Pakešu analizatorus lieto DT bojājumu kļūdu un pārslodzes lokalizācijai

  3. Protokolu analīzes piemēri • Web-klients nevar savienoties ar serveri • Analīzē atklāj klienta procesus, • atpazīstot servera adresi, • noteicot lok. maršrutētāja adresi un • pieprasot savienojumu • Tīklu testēšana; tā var būt: • pasīva – gaidot neparastas pārraides • Aktīva – sūtot paketes tīklā • Piemēram, kā tiek ievēroti uguns sienas aizliegumi • Kāda ir tīkla veiktspēja, kā tā mainās

  4. Protokolu analizatoru sastāvdaļas • “Juceklīgā” režīma (promiscuous mode) draiveris un karte • Pakešu filtri • Sekošanas buferis (trace buffer) • Atšifrētāji (decodes) • Avārijas signāli (alarms) • Statistika

  5. “Juceklīgā” režīma (promiscuous mode) draiveris un karte • Šajā režīmākarte spēj pārtvert sekojošas paketes: • Apraides (broadcast) visiem lokāli • Multiraide (multicast) Grup-adreses • uniraide (unicast) vienam adresātam • Paketes ar kļūdām, piem., • Palielināta izmēra (oversized) • Samazināta izmēra (undersized – runts) • Bez pieļaujama noslēguma • Piemērs – Ethernet sadursmes (collision) fragments, kad 2 paketes saduras • Sīkāk sk. www.ieee.org

  6. Pakešu filtri • Pakešu filtrs nosaka to pakešu tipus, ko satver (capture) analizators. Piem., var satvert tikai apraides paketes. • Kad filtrus lieto ienākošajām paketēm, tad tos sauc par satveršanas filtriem (capture filters) vai iepriekšējiem filtriem (pre-filters). • Filtrus var pielietot pakešu grupām pēc satveršanas – veido interesējošo pakešu a/kopas. Tas samazina izskatāmo pakešu skaitu. • Filtri bāzējas uz pakešu parametriem, piem.: • Avota adrese • Saņēmēja adrese • Avota IP-adrese • Saņēmēja IP-adrese • Lietojums vai process

  7. Sekošanas buferis • Sekošanas buferis (trace buffer) ir atmiņas vieta (uz diska), kur glabājas no tīkla nokopētās paketes. • Pēc noklusēšanas tā apjoms var būt 1,024MB (Demo EtherPeek, kas glabā <250 paketes) vai 4MB

  8. Atšifrētāji • Atšifrētāji (decodes) ir pārveidošanas līdzekļi un ļauj aplūkot paketes salasāmā formātā • Piemēram, tie var izdalīt IP-adresi u. c. laukus

  9. Avārijas signāli • Avārijas signāli (alarms) norāda uz neparastu tīklu notikumu un kļūdu esamību • Tipiskākie avārijas signāli var būt: • Pārliecīga apraide • Atteice no pieprasījuma izpildes • Serveris nestrādā

  10. Statistika • Daudzi analizatori atveido tīkla veiktspējas statistiku pēc tādiem parametriem kā: • Pakešu skaits sekundē • Tīkla izmantošanas procenti • Interesējošs rādītājs var būt arī sadalījums pēc garuma • Katram analizatoram var būt sava iespēju kopa – to var atrast ražotāju mājas lapās (sk. turpmāk)

  11. Izplatītāko pakešu analizatoru ražotāji(Packet Analyzer Vendors) • Network Associates, Inc.: Sniffer Network Analyzer .http://www.nai.com • WildPackets, Inc.: EtherPeek, Token Peek, etc. http://www.wildpackets.com • Agilent Technologies: Internet Advisor http://www.agilent.com • Fluke Networks: LANMeter, Network Inspector, etc. http://www.fluke.com • Acterna Corporation: DominoFE, DominoLAN, etc. (formerly Wavetek and Wandel Goltermann):http://www.acterna.com • Ipswitch, Inc: Whats’ Up Gold http://www.ipswitch.com • Shomiti Systems, Inc.: Surveyor http://www.shomiti.com • Gerald Combs: Ethereal for Linux/Windows http://www.ethereal.com

  12. Analizatora izvietošana tīklā • Parasti analizators jāizvieto tuvāk interesējošai iekārtai • Tīklā, kas savienots ar koncentratoriem, analizators var atrasties jebkurā vietā • Tīklā ar komutatoriem analizators atpazīst tikai paketes: Apraides, multiraides, Neatpazītas Speciali adresētas analizatoram • Ir 3 iespējas komutējamo tīklu analīzei: • Pakešu pārtveršana (hubbing out) • Porta pāradresācija (port redirection) • Attālināts monitorings (remote monitoring, RMON)

  13. Pakešu pārtveršana • Novietojot analizatoru, piemēram, starp serveri un komutatoru un pievienojot analizatoru koncentratoram, var aplūkot servera ienākošo un izejošo trafiku • Dupleksas pārraides analīzei nepieciešams papildus dupleksa sadalītājs (piem., Century Taps), kas dublē visus pieņemošos (RX) un pārraidošos ziņojumus. • Sk. www.finisar.com/virtual/virtual.php?virtual_id=52

  14. Porta pāradresācija • Novietojot analizatoru portā (pieslēgvietā) var novērot dialogus, ko veic ports • Komutatoru ražotāji šo procesu sauc par porta satveršanu (port spanning) vai porta atspoguļošanu (port mirroring)

  15. Attālināts monitorings • Lietojot attālināto monitoringu (RMON) tiek izmantots protokols SNMP • datu vākšanai par trafiku attālinātā komutatorā un • Šo datu nosūtīšanai pārvaldības iekārtai, kas atšifrē pakešu datus • Šajā gadījumā komutators tiek izmantots kā RMON aģents