Определение подозрительных пакетов, анализ протоколов сети
ну.
|[pic] |
Большинство современных приборов этого типа позволяет анализировать сразу
несколько протоколов глобальных сетей, таких, как X.25, PPP, SLIP,
SDLC/SNA, frame relay, SMDS, ISDN, протоколы мостов/маршрутизаторов (3Com,
Cisco, Bay Networks и другие). Такие анализаторы позволяют измерять
различные параметры протоколов, анализировать трафик в сети, преобразование
между протоколами локальных и глобальных сетей, задержку на маршрутизаторах
при этих преобразованиях и т. п. Более совершенные приборы предусматривают
возможность моделирования и декодирования протоколов глобальных сетей,
«стрессового» тестирования, измерения максимальной пропускной способности,
тестирования качества предоставляемых услуг. Стоит отметить и тот факт, что
в целях универсальности почти все анализаторы протоколов глобальных сетей
реализуют функции тестирования ЛВС и всех основных интерфейсов. Некоторые
приборы способны осуществлять анализ протоколов телефонии. А самые
современные модели могут декодировать и представлять в удобном варианте все
семь уровней OSI. Появление ATM привело к тому, что производители стали
снабжать свои анализаторы средствами тестирования этих сетей. Такие приборы
могут проводить полное тестирование сетей АТМ уровня E-1/E-3 с поддержкой
мониторинга и моделирования. Очень важное значение имеет набор сервисных
функций анализатора. Некоторые из них, например возможность удаленного
управления прибором, просто незаменимы.
|[pic] |
Таким образом, современные анализаторы протоколов WAN/LAN/ATM позволяют
обнаружить ошибки в конфигурации маршрутизаторов и мостов; установить тип
трафика, пересылаемого по глобальной сети; определить используемый диапазон
скоростей, оптимизировать соотношение между пропускной способностью и
количеством каналов; локализовать источник неправильного трафика; выполнить
тестирование последовательных интерфейсов и полное тестирование АТМ;
осуществить полный мониторинг и декодирование основных протоколов по любому
каналу; анализировать статистику в реальном времени, включая анализ трафика
локальных сетей через глобальные сети.
Критерии, по которым следует выбирать анализатор протоколов
Любой сетевой администратор, который однажды столкнулся с задачей
трансформации сети, скажет, что новые технологии привносят не меньше новых
проблем, нежели решают. Анализатор протоколов позволяет выявлять и
устранять проблемы существующей сети, а также упростить процесс перехода к
новой технологии. Благодаря анализатору можно не только оперативно
устранять проблемы по мере их возникновения, но и предупреждать их
появление.
Анализаторы протоколов - это "горячий" продукт, который, естественно,
достаточно широко представлен на рынке телекоммуникаций. Кроме того, это
довольно дорогое устройство. Как выбрать наиболее подходящий? Необходим
системный подход. Выделяют ряд критериев, по которым оценивают анализаторы
протоколов:
. Возможность декодирования сетевых протоколов и поддержки сменных
интерфейсов.
. Качество интерфейса программного обеспечения.
. Наличие многоканальности.
. Возможность интеграции с PC.
. Размер и вес.
. Соотношение цены и предоставляемых услуг.
Рассмотрим представленные на рынке телекоммуникаций анализаторы протоколов
и оценим их с точки зрения этих критериев. Проведенные автором исследования
рынка показали, что наибольшее распространение на российском рынке
анализаторов получили модели Domino и DA-30 фирмы Wandel&Golterman, J2300A
фирмы Hewlett-Packard, Fireberd 300 и Fireberd 500 фирмы TTC
(Telecommunication Technic Corporation), Sniffer компании Network General и
серия продуктов компании RADCOM(RC-88WL, RC-100WL).
Поддерживаемые протоколы и физические интерфейсы
Поддерживаемые протоколы и возможность физического подсоединения к
различным физическим интерфейсам определяют сферу и широту применения
анализтора.
Физические интерфейсы
В число традиционно поддерживаемых физических интерфейсов входят V.35, RS-
232/V.24, RS-449, RS-530, X.21/V.11, которые обычно включаются в базовый
комплект поставки анализатора. Интерфейсы Е1, Т1, Ethernet, Token Ring
являются дополнительными и обычно не входят в базовый комплект. Благодаря
модульной структуре конструкции анализатора, всегда остается возможность
его оснащения требуемыми физическими интерфейсами. Отсутствие поддержки
каких-либо из этих интерфейсов или неоправданно высокая стоимость, может
оказаться слабой стороной анализатора. Модель Domino фирмы Wandel&Golterman
не поддерживает интерфейс Т1, что для российских условий не является
существенным, однако, отсутствие поддержки интерфейса Е1 моделями Fireberd
300, Fireberd 500 фирмы TTC может стать серьезным ограничением для их
использования.
Протоколы
В международной классификации сетевые протоколы подразделяются на классы,
или серии, которые содержат протоколы с общими признаками. Анализ сетевых
протоколов - центральная задача анализатора, поэтому естественным
требованием системного администратора является поддержка максимального
количества протоколов. На практике же оказывается, что возможность работы
ряда анализаторов с частью протоколов из класса не всегда подразумевает
поддержку целого класса.
Наибольшей полнотой возможностей работы с сетевыми протоколами отличаются
модели J2300А компании Hewlett-Packard, RC-88WL и RC-100WL фирмы RADCOM. На
сегодняшний день они поддерживают декодирование около 140 сетевых
протоколов, что является практически полным списком используемых
протоколов. Например, протокол Apollo Domain поддерживает только модель
J2300A Hewlett Packard, а протокол RND - только указанные модели фирмы
RADCOM.
Список протоколов, поддерживаемых другими анализаторами, не так обширен.
Модели Domino, DA-30 компании Wandel&Golterman не поддерживают такие
протоколы серии TCP/IP, как TELNET, FTP, TFTP, и отдельные протоколы других
групп.
Интерфейс программного обеспечения
Почему интерфейс программного обеспечения является таким важным фактором?
Чем "дружественнее" оболочка программного обеспечения, тем эффективнее
работа администратора, кроме того, графический оконный интерфейс
способствует быстрому освоению программного обеспечения и позволяет
адекватно воспринимать выдаваемую анализатором информацию. В результате
широкого распространения среды MS-Windows графический оконный интерфейс
стал некоторым стандартом для компьютерных приложений. Однако каждая фирма-
производитель анализаторов протоколов использует свой собственный подход к
организации программного интерфейса.
Компания RADCOM изначально ориентировалась на графический оконный интерфейс
(выход первых моделей анализаторов в 1991г. совпал с моментом признания MS-
Windows). Естественно, что с устранением системных ошибок в среде MS-
Windows устранялись ошибки и в программном обеспечении анализатора. Сейчас
программное обеспечение RADCOM стало высоконадежным и зрелым продуктом. Для
анализаторов Domino и DA-30 фирмы Wandel&Golterman графический оконный
интерфейс является достаточно новым (используется в них, начиная с июня
1995 г.) и не всегда удобен для работы. Анализаторы протоколов Sniffer
компании Network General и J2300A компании Hewlett-Packard предлагают два
различных типа программного обеспечения : графический оконный интерфейс -
для работы с локальными сетями, интерфейс под операционную среду MS-DOS -
для работы с распределенными сетями. Последний тип ПО никак не может
считаться передовым, поскольку усложняет работу оператора и накладывает
дополнительные ограничения на свое использование.
Многоканальность
Наличие или отсутствие функции одновременной работы с несколькими каналами
очень часто является определяющим при классификации анализатора. Как
известно, в классе протокольных анализаторов выделяют подкласс с более
богатыми функциональными и исследовательскими возможностями (Research and
Development, или R&D Analyzers). В качественных моделях анализаторов
поддержка работы с несколькими каналами обычно подразумевает наличие
дополнительной функции имитации. Эта функция в совокупности с
многоканальностью позволяет использовать анализатор одновременно в качестве
генератора проверочных последовательностей и тестирующего оборудования.
Следует отметить, что далеко не все анализаторы, представленные на рынке (
а их более десятка! ), поддерживают многоканальность.
Анализаторы компаний RADCOM и Wandel&Golterman в полной мере поддерживают
эту функцию. Например, RADCOM предлагает очень практичное решение : наличие
поддержки одновременной работы с двумя физическими каналами в совокупности
с принципом модульности физических интерфейсов позволяют получить
практически любую требуемую конфигурацию. Кроме наиболее часто используемой
конфигурации - интерфейс локальной сети плюс интерфейс распределенной -
можно использовать интерфейсы двух локальных или двух распределенных сетей.
Модель Fireberd 300 фирмы TTC позволяет одновременно работать c каналами
распределенных и локальных сетей, но не более чем с одним видом в
определенный промежуток времени. Этот анализатор не может одновременно
тестировать два различных сегмента локальной сети или два канала связи
распределенной сети. Сетевые администраторы лишаются очень важной и
естественной возможности - анализировать трафик смежных сегментов сети, а
при необходимости - генерировать проверочные последовательности на одном
сегменте сети и проверять их на соседнем средствами одного устройства.
Модели Sniffer компании Network General и J2300A компании Hewlett-Packard
не поддерживают одновременную работу с несколькими каналами. На момент
написания статьи компания Hewlett-Packard объявила, что поддержка функции
многоканальности должна быть реализована ею в ближайшее время. Однако стоит
учитывать тот факт, что не всегда новые продукты отвечают требованиям,
исходя из которых они создавались, и может пройти неко
| |  скачать работу |
Определение подозрительных пакетов, анализ протоколов сети |
