Анализатор сетевых протоколов — жизненно важная часть набора инструментов сетевого администратора. Анализ сетевых протоколов — это поиск истины в сетевых коммуникациях. Чтобы узнать, почему какое-либо сетевое устройство работает именно так, а не иначе, следует использовать анализатор протоколов, чтобы «вживую» прочувствовать трафик и выделить из него данные и протоколы, передающиеся по сетевому кабелю. Анализатор сетевых протоколов может использоваться для:

  • локализации трудноразрешимых проблем;
  • обнаружения и идентификации несанкционированного программного обеспечения;
  • получения такой информации, как базовые модели трафика (baseline traffic patterns) и метрики утилизации сети;
  • идентификации неиспользуемых протоколов для удаления их из сети;
  • генерации трафика для испытания на вторжение (penetration test) с целью проверки системы защиты;
  • работы с системами обнаружения вторжений Intrusion Detection System (IDS);
  • прослушивания трафика, т. е. локализации несанкционированного трафика с использованием Instant Messaging (IM) или беспроводных точек доступа Access Points — (AP);
  • изучения работы сети.

Если вы обслуживаете сеть и до сих пор не имеете анализатора протоколов, самое время его приобрести. Чтобы выбрать анализатор сетевых протоколов, который бы соответствовал конкретной среде работы, рассмотрим сначала некоторые типичные функции программного анализатора протоколов. После чего будут изучены и сопоставлены рассмотренные функции для шести популярных анализаторов сетевых протоколов.

Типичные функции

Большинство анализаторов сетевых протоколов работают по схеме, представленной на рис. 1, и отображают, по крайней мере в некотором начальном виде, одинаковую базовую информацию. Анализатор работает на станции хоста. Когда анализатор запускается в беспорядочном режиме (promiscuous mode), драйвер сетевого адаптера, NIC, перехватывает весь проходящий через него трафик. Анализатор протоколов передает перехваченный трафик декодеру пакетов анализатора (packet-decoder engine), который идентифицирует и расщепляет пакеты по соответствующим уровням иерархии. Программное обеспечение протокольного анализатора изучает пакеты и отображает информацию о них на экране хоста в окне анализатора. В зависимости от возможностей конкретного продукта, представленная информация может впоследствии дополнительно анализироваться и отфильтровываться.

Рисунок 1. Анализатор протоколов выполняет мониторинг сетевого трафика

Обычно окно протокольного анализатора состоит их трех областей, как, например, показано на экране 1, демонстрирующем продукт Ethereal. Верхняя область отображает итоговые данные перехваченных пакетов. Обычно в этой области отображается минимум полей, а именно: дата; время (в миллисекундах), когда пакеты были перехвачены; исходные и целевые IP-адреса; исходные и целевые адреса портов; тип протокола (сетевой, транспортный или прикладного уровня); некоторая суммарная информация о перехваченных данных. В средней области показаны логические врезки пакетов, выбранных оператором. И наконец, в нижней области пакет представлен в шестнадцатеричном виде или в символьной форме — ASCII.

Анализ декодированных пакетов — основная задача любого анализатора сетевых протоколов. Анализатор организует перехваченные пакеты по уровням и протоколам. Лучшие анализаторы пакетов могут распознать протокол по его наиболее характерному уровню — верхнему — и отобразить перехваченную информацию. Этот тип информации обычно отображается во второй области окна анализатора. Например, любой анализатор протоколов может распознавать трафик TCP. Хороший анализатор заметит, что данный трафик порожден Microsoft Exchange Server, работающим поверх протокола удаленного вызова процедур, Remote Procedure Call — RPC, и покажет текст почтового сообщения. Большинство анализаторов протоколов распознают свыше 300 различных протоколов и умеют описывать и декодировать их по именам. Чем больше анализатор в состоянии декодировать информации и представить ее на экране, тем меньше придется декодировать вручную.

Заявления производителя о том, что его анализатор протоколов поддерживает более 4000 декодеров протоколов, должно вызвать подозрение; 300-400 декодеров — вот наиболее реалистичный диапазон. Большинство продуктов поддерживает примерно одинаковое число декодеров, несмотря на рекламные заявления отдельных поставщиков. Например, один продукт может расчленить простой процесс Ping на несколько протоколов (т. е. Internet Control Message Protocol — ICMP, Echo Request, ICMP Echo Reply), тогда как другой будет декодировать тот же процесс Ping как один протокол, хотя оба продукта оценивают и декодируют одну и ту же информацию.

Общая проблема, которую я наблюдал, работая со многими анализаторами протоколов, включая и те, что рассматриваются в данной статье, — невозможность аккуратной идентификации (а следовательно, и декодирования) протокола, использующего порт, отличный от порта по умолчанию. Сегодня все хорошо осознают важность проблем безопасности, и запуск известных приложений на редко используемых портах является общепринятой практикой защиты от хакеров. Некоторые декодеры умеют распознавать трафик независимо от того, через какой порт он проходит, тогда как другие — нет, и поэтому просто будут определять протокол по его нижнему уровню (т. е. TCP или UDP), а это означает, что декодер не представит более полезной информации о полях. Некоторые анализаторы позволяют модифицировать декодер, чтобы научиться распознавать больше, чем просто порт по умолчанию для определенных протоколов.

Экран 1. Пример окна анализатора протоколов

Продавцы анализаторов протоколов часто хвастают аналитическими и экспертными модулями своих продуктов — анализатор умеет считывать пакет или серию пакетов и выдавать отчеты с полезной аналитической информацией о перехваченном трафике. Экспертный анализ действительно может сообщить об аномалиях трафика или несанкционированных пакетах или же полностью декодировать серии потоков данных между двумя хостами. Декодирующая составляющая поистине бесценна, так как позволяет увидеть весь коммуникационный поток данных, и для этого достаточно просто щелкнуть мышью на заинтересовавшем вас пакете. Например, можно щелкнуть HTTP-пакет и увидеть Web-страницу, которая ему соответствует, все равно как если бы пользователь наблюдал код HTML в режиме визуализации. Другая общая функциональность включает фильтры до и после захвата трафика (возможность выделить определенные пакеты по заданному критерию), триггеры (инициирование вторичных действий при обнаружении заранее описанных пакетов), повторное воспроизведение (возможность повторно отработать перехваченные пакеты в сети), сбор статистики и составление отчетов о трафике, а также управление множеством сенсоров с одной консоли.

Обзор анализаторов

На рынке программного обеспечения и программных продуктов среди анализаторов сетевых протоколов я, к своему удивлению, обнаружил большое количество сильных программ, вполне достойных друг друга. Оценивая анализатор протоколов, рекомендую особое внимание обратить на такие его свойства, как точность перехвата пакетов, диапазон декодируемых протоколов (с учетом условий работы конкретной сети), степень детализации декодеров, наличие экспертного анализа, модель размещения (распределенная или нет), цена и техническая поддержка. Далее мы рассмотрим шесть анализаторов сетевых протоколов общего назначения: Ethereal, OptiView Protocol Expert 4.0 (производитель — Fluke Networks), Netasyst Network Analyzer WLX (производитель — Network Associates), Observer 9.0 (производитель — Network Instruments), LanHound 1.1 (производитель — Sunbelt Software) и EtherPeek NX 2.1 (производитель — WildPackets).

Ethereal

Ethereal — одна из лучших программ с открытым кодом на сегодняшний день. Хотя изначально эта программа создавалась для UNIX/Linux на основе Libpcap (открытый интерфейс для перехвата сетевых пакетов), она уже давно доступна и для Windows. В отличие от большинства программ с открытым кодом, графический интерфейс Ethereal освоить и использовать легко, продукт поставляется с 400-страничной документацией в формате PDF, а не в виде одной онлайновой странички для UNIX/Linux, как это обычно бывает в случае продуктов с открытым кодом. Перед установкой и использованием Ethereal нужно загрузить и установить Windows-версию Libpcap — WinPcap, бесплатно распространяемую инфраструктуру перехвата пакетов (Packet-Capture Architecture) для систем Windows (http://winpcap.polito.it). Загружаемые версии Ethereal существуют как в версии с графическим интерфейсом, так и в версии командной строки. Версия с командной строкой удобна для составления сценариев или активизации функций перехвата пакетов при возникновении в сети определенных событий (например, анализ в IDS). Поскольку Ethereal — программное обеспечение с открытым кодом, Web-сайт Ethereal служит основным источником информации об этом продукте. Там можно найти сведения о возможностях Ethereal, ответы на часто задаваемые вопросы, а также ссылки на разработчиков и список почтовых адресов, куда можно обратиться за технической поддержкой.

В Ethereal можно найти все функции, которые должны присутствовать в анализаторе протоколов. Можете перехватить или отобразить весь сетевой трафик или только ту его часть, которая удовлетворяет заданному критерию. По умолчанию для отображения трафика необходимо остановить перехват пакетов, хотя можно настроить Ethereal на отображение трафика одновременно с перехватом пакетов (что приведет к снижению производительности). Существует возможность распечатать трассу пакета с различной степенью детализации и в разных форматах или сохранить в файлы, которые будут анализироваться позже. Можно выполнить конвертацию собранной информации, такой как адреса IP и MAC-адреса, в общие имена, и отображать имена, а не набор цифр.

Ethereal предоставляет несколько окон (дисплеев), в которых отображается суммарная информация и статистика. Хотя дисплеи Ethereal не так удобны, как приборные панели и диаграммы некоторых конкурирующих продуктов, таких как EtherPeek или Netasyst Network Analyzer, статистические данные, предлагаемые Ethereal, могут очень пригодиться. Они содержат такие сведения, как распределение спектра протоколов, суммарные отчеты по протоколам, списки «переговоров» (т. е. какой хост с каким хостом «беседует» в данный момент). Одна из наиболее ценных функций Ethereal — возможность выбрать один TCP-пакет и показать все полезные данные между двумя общающимися хостами на протяжении сессии. Среди всех рассматриваемых в данном обзоре анализаторов данная функция лучше всего реализована именно в Ethereal, хотя отслеживается только поток TCP. Остальные анализаторы протоколов могут выполнять, помимо TCP, анализ и других протоколов. На экране 2 показана декодированная Ethereal сессия HTTP; представлен базовый запрос HTTP GET и результирующий ответ Web-сайта.

Экран 2. Декодирование сессии HTTP в Ethereal

Ethereal поддерживает 512 декодеров протоколов (в соответствии с данными http://www.ethereal.com/faq.html#q1.2), и эта цифра постоянно увеличивается. Ethereal распознает и декодирует такие типы протоколов, как AOL Instant Messenger (AIM), Abstract Syntax Notation One (ASN.1), DNS, FTP, HTTP, Lightweight Directory Access Protocol (LDAP), POP, RPC, Session Initiation Protocol (SIP) и SMTP. Ориентация Ethereal на Unix очевидна, поскольку многие стандартные для Windows декодеры транспортного и прикладного уровня отсутствуют или по умолчанию не устанавливаются (например, Exchange, Microsoft SQL Server, RDP). Однако Ethereal — один из немногих анализаторов протоколов, в котором существуют декодеры для протоколов MetaMachine eDonkey 2000, Jabber и Quake. Большинство декодеров Ethereal не способны в деталях распознать протоколы, работающие не через порты по умолчанию, но если вам удалось распознать особенности того или иного протокола в пакете, дальше все просто — правым щелчком мыши вызывается контекстное меню и выбирается конкретный декодер для декодирования данного протокола.

Ethereal — прекрасный анализатор сетевых протоколов для непосредственной работы с пользователями. Для них возможностей Ethereal вполне достаточно, хотя в некоторых случаях может вызывать беспокойство отсутствие выделенной технической поддержки. Опытные пользователи, которым необходимо более точное декодирование, тщательный экспертный анализ и распределенная архитектура, могут выбрать коммерческие анализаторы сетевых протоколов с лучшими характеристиками.

OptiView Protocol Expert

Компания Fluke Networks, которая долгое время была известна как фирма, выпускающая портативные аппаратные анализаторы протоколов, сейчас пытается завоевать такую же репутацию на рынке программных анализаторов с продуктами OptiView. OptiView — это семейство продуктов, которое прослушивает трафик в сетях Ethernet, Token Ring и оптоволоконных сетях. Подробнее об аппаратных анализаторах протоколов рассказано во врезке «Аппаратные анализаторы протоколов».

OptiView Protocol Expert предназначен для анализа пакетов протоколов, перехваченных программой Protocol Expert или другими программами семейства OptiView, включая OptiView Integrated Network Analyzer, OptiView Link Analyzer и OptiView Workgroup Analyzer. Программа OptiView Protocol Expert работает в среде Windows 2000 Professional и Windows 98, но не поддерживает Windows 2003 Server и Windows 2000 Server. Я просмотрел основные возможности Protocol Expert 4.0, самой последней версии программы, которую смог достать для тестирования. Fluke Networks уже выпустила Protocol Expert 5.0 как обновление для некоторых своих клиентов, но данная версия этого продукта в тестовом режиме недоступна. Представители компании сообщают, что в конце июня будет выпущен очередной релиз — Protocol Expert 6.1.

Protocol Expert — это вместительная консоль, однако интерфейс пользователя нуждается в существенном улучшении. Разработчики Fluke Networks обещают усовершенствовать его в версии 6.1. Я нашел графический интерфейс Protocol Expert довольно-таки сложным для работы. Слишком много времени пришлось потратить на поиск механизмов включения и отключения тех или иных базовых функций, таких как запуск и остановка процедуры захвата пакетов или печать отчетов. Хотя в подсказке описана пошаговая процедура освоения продукта, пользователи-новички не должны начинать работу с изучения справочника и поиска операций, которые и так должны быть прозрачны. Кроме того, отображаемая информация трудна для восприятия с экрана и настройки. Серая граница занимает много места на экране, а шрифт, выбранный по умолчанию, слишком трудно прочесть при разрешении 800x600. В окне декодирования пакета изменить порядок следования колонок мне не удалось. После того как я привык к интерфейсу Protocol Expert, оказалось, что продукт работает стабильно. Fluke Networks предлагает курсы от одного до пяти дней (пятидневный класс стоит 2750 долл.) для ускоренного изучения возможностей своего продукта.

Protocol Expert поддерживает более 250 протоколов, в том числе Cisco, IBM Lotus Notes, SIP, Virtual LAN (VLAN) и Voice over IP (VoIP). Предлагается более 150 заранее описанных настраиваемых предупреждений (аварийных сигналов), с помощью которых рассылаются аварийные оповещения (по локальной сети, электронной почте или на пейджер). Можно настроить предупреждения и триггеры для запуска специальных приложений, таких как проверка на вирусы или запуск IDS. Мне представляется, что Protocol Expert выполняет декодирование протоколов достаточно информативно, хотя не так детально, как Netasyst Network Analyzer и Observer. Protocol Expert позволяет формировать стандартный набор итоговых отчетов, например распределение протоколов, таблицы переговоров, таблицы лидеров рассылок и матрицы хостов, простым щелчком по значкам меню. Захваченные данные могут быть сохранены в формате файлов BMP, CSV или Microsoft Excel. Кроме того, можно модифицировать захваченный трафик и повторно запустить его в сети. Эта особенность может очень пригодиться при тестировании брандмауэров, IDS и средств сетевой защиты.

Вид Expert View (см. экран 3) построен в соответствии с моделью Open System Interconnection (OSI). Различные уровни формируют различные события, чтобы облегчить процесс поиска неисправности. Например, модуль экспертного анализа канального уровня может сообщить о попытке подмены MAC-адресов (спуфинге) или «широковещательном шторме», а на транспортном уровне может обнаружиться ошибка четности IP или SYN-атака. Expert View оказывается эффективным почти во всех своих проявлениях, хотя прикладной уровень нуждается в более глубокой проработке. В этой части экспертный модуль учитывает только базовые приложения, такие как FTP, HTTP и NetWare Core Protocol (NCP), но даже для этих немногих протоколов представленных счетчиков недостаточно. Некоторые конкурентные продукты предлагают Exchange, SQL Server и множество других популярных приложений и счетчиков.

Netasyst Network Analyzer

Компания Network Associates уже давно занимается разработкой продуктов, связанных с анализом сетевых протоколов, включая линии InfiniStream Network Management, Netasyst Network Analyzer и Sniffer. Некоторое время назад Network Associates продала эти линии Silver Lake Partners и Texas Pacific Group, а те в свою очередь будут реализовывать продукцию через новую компанию, Network General, после завершения сделки (предположительно в третьем квартале 2004 года). Продукты InfiniStream Network Management и Sniffer, в состав которых входят как аппаратные, так и программные решения, нацелены на более крупный бизнес, которому требуется высокоскоростной анализ (порядка нескольких гигабитов в секунду), продолжительный захват трафика и длительное хранение данных, а также возможность повторного воспроизведения трафика по сети. Netasyst Network Analyzer ориентирован на средний и малый бизнес с числом узлов меньше 1000. Данный продукт представлен в двух версиях — стандартной и экспертной (Х) и в трех вариантах внутри каждой версии: 10Мбит/с/100Мбит/с LAN (L), 802.11 Wireless (W) или Wireless and LAN (WL). Стандартная и экспертная версии имеют одинаковое ядро декодирования пакетов, но экспертная версия предлагает дополнительные инструменты и аналитику. Цена продуктов варьируется в зависимости от типа версии и варианта.

Netasyst Network Analyzer — надежный анализатор протоколов, зрелость которого не вызывает сомнений. Хотя само название продукта — Netasyst Network Analyzer — новое, качество исполнения гарантируется годами работы Network Associates на рынке анализаторов протоколов. При установке Netasyst Network Analyzer могут возникнуть ассоциации с именами файлов таких программ, как Sniffer и Net X-Ray, и это неудивительно — продукт Netasyst Network Analyzer основан именно на них. Для работы Netasyst Network Analyzer требуется Windows XP или Windows 2000, Microsoft Internet Explorer (IE) 6.0 или старше, а также Java 2 Runtime Environment (JRE2) от Sun Microsystems, которая нужна для вывода графики. Netasyst Network Analyzer переполнен самыми разнообразными функциями. При запуске отображается приборная панель, это своеобразная визитная карточка самого продукта. На приборную панель выведена утилизация сети, число пакетов и число ошибок.

Экран 3. Вид Expert View в Protocol Expert

Netasyst Network Analyzer декодирует свыше 280 различных протоколов. Данный продукт обеспечивает наиболее точную и детальную расшифровку из всех продуктов, представленных в данном обзоре. Трудно не заметить богатства возможностей Netasyst Network Analyzer. Например, на экране 4 показано итоговое окно, в котором информация представлена с исчерпывающей детализацией. В сводке о пакетах HTTP сообщается, чем они занимаются (какая была выдана команда HTML, что именно загружается — страница или графика и т. п.). Каждый флаг пакета имеет свое значение и краткое пояснение, что вообще-то часто встречается в анализаторах протоколов. Однако Netasyst Network Analyzer передает эту информацию чуть лучше, чем большинство конкурирующих продуктов. Он анализирует пакеты и отмечает имеющиеся между ними отношения; например фрагментированные пакеты или данные сессии, разбитые по многим пакетам, без труда идентифицируются как совместные. Программа отмечает ненормальные ситуации, такие как продолжительные уведомления (acknowledges — ACK), повторные передачи пакетов (ретрансмиссии), несвоевременные пакеты. Ни один из рассмотренных мною пакетов не выявил так много проблем в сети, как Netasyst Network Analyzer. Хотя непосредственная ценность обнаружения повторных передач и блокировки окна TCP для обычного администратора неочевидна, такая информация может пригодиться при определении базисных параметров сети. Сетевые проектировщики должны очень внимательно относиться к рекомендациям Netasyst Network Analyzer при организации мероприятий, направленных на тонкую настройку работы сетевых приложений. При тестировании данного продукта я выбирал нестандартные порты. При этом большое число дешифровщиков Netasyst Network Analyzer показало себя с самой лучшей стороны; анализатор смог интерпретировать большинство полей пакета и привести бинарные данные к такому виду, чтобы в них можно было разобраться.

Другая интересная особенность Netasyst Network Analyzer связана с возможностью загрузки фильтров программ-шпионов (malware), загружаемых в анализатор Netasyst Network Analyzer в целях своевременного обнаружения вредоносных кодов. На Web-сайте McAfee вывешен список из 20 фильтров, куда вошли фильтры последних вирусов, в том числе MyDoom и Netsky. Хотя Netasyst Network Analyzer не претендует на роль универсального антивирусного сканера или системы обнаружения вторжений, функция загрузки защитных фильтров тем не менее может очень пригодиться.

Netasyst Network Analyzer имеет полный комплект всех необходимых функций, включая большое число статистических экранов, диаграмм, ловушек SNMP и триггеров. Продукт поддерживает десятки счетчиков с предустановленными пороговыми значениями, которые можно использовать для генерации предупреждений в различных ситуациях: при медленной работе серверов, высоком уровне трафика VoIP, резком росте числа неудачных попыток регистрации, попытках регистрации через FTP, ошибках дублирования имен WINS, слишком большом проценте ретрансмиссий, при выключении контроллеров домена DC, ошибках второго уровня OSI, широковещательных штормах и изменении сетевой топологии. Хотя счетчики поддерживают большинство анализаторов протоколов, особенность Netasyst Network Analyzer состоит в том, что соответствующие пороговые значения заранее установлены. В беспроводной версии этого продукта можно активизировать функцию обнаружения маршрутизации AP или обнаружения беспроводных узлов. Netasyst Network Analyzer предоставляет большее количество различных функций при работе с VoIP, чем конкурирующие продукты. К сожалению, Netasyst Network Analyzer не умеет декодировать 802.11g, Kerberos или RDP, а поддержка локальных и беспроводных сетей разнесена по различным версиям продукта.

Observer

Observer, продукт компании Network Instruments, тоже является примером надежного и конкурентоспособного решения для средних и крупных сетей. Observer проектировался как продукт для распределенных сетей, обработки огромных объемов информации и взаимодействия с большим числом типов сетевых интерфейсов, чем любой другой анализатор протоколов, представленный в обзоре. Распределенный анализатор протоколов функционирует как станция управления и как клиентская станция для перехвата сетевых пакетов. Клиенты могут быть распределены по сети предприятия, все распределенные данные накапливаются и анализируются на одной станции управления. Network Instruments называет такую распределенную архитектуру Distributed Network Analysis (NI-DNA). При установке Observer можно указать развертывание полного пакета Observer, в состав которого входит консоль дешифрации и консоль отчетов или программный зонд (probe software). С помощью консоли отчетов происходит захват пакетов локальной или удаленной сети и взаимодействие с консолью Observer. Разработчики Network Instruments утверждают, что поддерживается до 350 проб-отчетов в одной бизнес-среде. Данные могут быть представлены в отчете как все вместе, так и по отдельности. Observer резервирует до 4 Гбайт памяти для захвата пакетов от 64 различных сетевых интерфейсов. Кому-нибудь нужно так много интерфейсов? Поддерживаются проводные топологии от 10 Мбит/с до полнодуплексных гигабитных сетей.

Экран 4. Общее окно Netasyst Network Analazer WLX

В то время как некоторые поставщики анализаторов протоколов различают свои продукты по LAN- и wireless-функциональности, каждая версия Observer поддерживает сразу локальную сеть, удаленный мониторинг (RMON), распределенные сети WAN и беспроводные сети. Network Instruments готова продвигать WAN-решения, в том числе интерфейс DS3, E1, High-Speed Serial Interface (HSSI) и T1. Можно заказать стандартное решение для размещения в стойку высотой 4U с WAN Kit или без него. Также Observer предлагает более широкую функциональность при работе с беспроводными сетями, чем его конкуренты. Это один из немногих анализаторов протоколов, который умеет декодировать беспроводные протоколы 802.11a, 802.11b и 802.11g. Более того, все пробники Observer выполнены по единому проекту и принципам работы. Продукты конкурирующих фирм не обеспечивают такого богатого выбора возможностей и единого интерфейса, как предлагает Observer

Observer, продукт компании Network Instruments, тоже является примером надежного и конкурентоспособного решения для средних и крупных сетей. Observer проектировался как продукт для распределенных сетей, обработки огромных объемов информации и взаимодействия с большим числом типов сетевых интерфейсов, чем любой другой анализатор протоколов, представленный в обзоре. Распределенный анализатор протоколов функционирует как станция управления и как клиентская станция для перехвата сетевых пакетов. Клиенты могут быть распределены по сети предприятия, все распределенные данные накапливаются и анализируются на одной станции управления. Network Instruments называет такую распределенную архитектуру Distributed Network Analysis (NI-DNA). При установке Observer можно указать развертывание полного пакета Observer, в состав которого входит консоль дешифрации и консоль отчетов или программный зонд (probe software). С помощью консоли отчетов происходит захват пакетов локальной или удаленной сети и взаимодействие с консолью Observer. Разработчики Network Instruments утверждают, что поддерживается до 350 проб-отчетов в одной бизнес-среде. Данные могут быть представлены в отчете как все вместе, так и по отдельности. Observer резервирует до 4 Гбайт памяти для захвата пакетов от 64 различных сетевых интерфейсов. Кому-нибудь нужно так много интерфейсов? Поддерживаются проводные топологии от 10 Мбит/с до полнодуплексных гигабитных сетей.

В то время как некоторые поставщики анализаторов протоколов различают свои продукты по LAN- и wireless-функциональности, каждая версия Observer поддерживает сразу локальную сеть, удаленный мониторинг (RMON), распределенные сети WAN и беспроводные сети. Network Instruments готова продвигать WAN-решения, в том числе интерфейс DS3, E1, High-Speed Serial Interface (HSSI) и T1. Можно заказать стандартное решение для размещения в стойку высотой 4U с WAN Kit или без него. Также Observer предлагает более широкую функциональность при работе с беспроводными сетями, чем его конкуренты. Это один из немногих анализаторов протоколов, который умеет декодировать беспроводные протоколы 802.11a, 802.11b и 802.11g. Более того, все пробники Observer выполнены по единому проекту и принципам работы. Продукты конкурирующих фирм не обеспечивают такого богатого выбора возможностей и единого интерфейса, как предлагает Observer.

Одна из первых особенностей, которая бросается в глаза при работе с Observer, — наличие окон подсказки с пояснениями при установке и первом использовании продукта (в некоторых продуктах, например, EtherPeek, это тоже реализовано). 15-минутная учебная программа дает ясное и полное представление о продукте. У меня возникло ощущение, что Network Instruments рассчитывает на несколько более высокий уровень квалификации пользователя, если сравнивать Observer с продуктами конкурентов. Щелчком правой кнопки мыши можно открыть контекстное меню любого пакета () и создать фильтр, который будет показывать только пакеты, связанные с IP-адресом выбранного пакета, или же отсылаемые и принимаемые пакеты между двумя связанными хостами и аналогичными номерами портов IP. Так, всего лишь одним щелчком мыши можно захватить весь трафик между Web-сервером и сервером баз данных и отфильтровать весь посторонний трафик. Другие анализаторы протоколов тоже позволяют описывать аналогичные фильтры, но для этого потребуется ряд манипуляций, тогда как Observer выполняет эту задачу по одному щелчку мыши.

Как и другие анализаторы, Observer выводит широкий спектр отчетов, итоговых данных и статистики (см. экран 5). Observer содержит свыше 30 фильтров программ-шпионов, в том числе фильтры атак Denial of Service (DoS) в беспроводных сетях, общие фильтры, а также такие, которые в терминах Observer называются hack filters (являющиеся подмножеством более широкого набора фильтров, который может использоваться в Observer). В состав Observer входит полный комплект счетчиков и триггеров. Observer обладает уникальной функцией сетевого отображения, которая может применяться автономно для перевода IP- и MAC-адресов в DNS- или NetBIOS-имена. Во время тестирования Observer смог автоматически определить, какие компьютеры были серверами и даже какие приложения они выполняли. Observer опознал 14 различных приложений, таких как Exchange, Oracle, SQL Server и VoIP.

На мой взгляд, дешифрующие возможности Observer и полнота информации, представленной на каждом уровне, делают его одним из лучших продуктов, рассматриваемых в настоящем обзоре. Иногда в Observer возникают проблемы с распознаванием популярных протоколов на нестандартных портах (HTTP, RDP); но можно модифицировать декодеры Observer для организации мониторинга соответствующих портов, как и в случае с другими анализаторами. Я считаю, что расшифровка некоторых протоколов у Observer самая лучшая. Он оказался одним из немногих анализаторов, сумевших во всех случаях распознать и декодировать трафик Kerberos и LDAP. Другие анализаторы смогли обнаружить пакеты UDP через порт 88 и отметили их как пакеты Kerberos, но только Observer заметил разницу между запросами Kerberos и успешно предоставленными учетными данными для доступа. Observer также позволяет повторно воспроизводить до 5 Мбайт перехваченного сетевого трафика.

Что касается возможных улучшений, то это основной интерфейс пользователя. Сейчас в одно окно втиснуто все, что только можно, и это неудобно. Основное окно растянуто больше, чем хотелось бы, вкладки заслоняют одна другую и общая «картинка» может поставить в тупик новых пользователей продукта. Кроме того, когда я менял фильтры программ-шпионов, размеры окна зачастую самопроизвольно менялись и я терял свои настройки. Но, несмотря на эти недостатки, Observer — надежный автономный продукт, явно предпочтительный для организаций с распределенной сетью и широкими запросами.

LanHound

Хотя, возможно, компания Sunbelt Software больше известна как производитель iHateSpam, она выпускает и много других продуктов. Sunbelt Software позиционирует LanHound как недорогое решение, которое обеспечивает большинство необходимых базовых функций. LanHound состоит из двух продуктов: административной консоли и удаленного агента перехвата пакетов (консоль также служит агентом). LanHound работает под управлением Windows начиная с платформы Windows 98 и старше, за исключением Windows 2003.

LanHound имеет простой графический интерфейс (см. экран 6) и набор функций, стандартный для протокольного анализатора, включая фильтрацию перехваченного трафика, поиск по имени, предупреждения, триггеры и создание отчетов. Функция предупреждений несколько ограничена, пользователь получает уведомления только в том случае, когда в протокольной сессии, FTP или POP, отправляется незашифрованный пароль. В состав LanHound входит модуль экспертного анализа, лишь ненамного выходящий за рамки возможностей функции предупреждений. Отчеты содержат гистограммы, таблицы хостов, итоговые отчеты по пакетам, матрицы трафика. Как и в случае с другими анализаторами, данные, собранные LanHound, можно обрабатывать по-разному, в частности предусмотрено построение всевозможных гистограмм и диаграмм. К своему удивлению, я обнаружил, что LanHound позволяет манипулировать накопленным трафиком и даже повторно запускать его по сети — функция, не всегда доступная в недорогих продуктах такого класса.

Экран 5. Отчеты и итоговые результаты в главном окне Observer

В целом мне понравился набор функций, предлагаемый LanHound, хотя, как и предполагалось, декодирующий модуль оказался не столь детальным, как в остальных продуктах данного обзора. Так, по умолчанию детальная расшифровка пакета включает его отображение в шестнадцатеричных кодах, а не в легко воспринимаемых кодах ASCII, и чтение такого трафика, как HTTP, становится нелегким занятием. Server Message Block (SMB) декодируется неплохо, однако полностью отсутствует идентификация Exchange, RDP и многих других «родных» протоколов Windows. Как и некоторые другие рассмотренные в обзоре анализаторы, LanHound не умеет классифицировать широко известные протоколы, работающие не через порты по умолчанию. LanHound — это анализатор протоколов низшего класса, который предоставляет все базовые возможности плюс повторное воспроизведение трафика, но в части дешифрации пакетов он уступает остальным продуктам настоящего обзора.

EtherPeek

Линия продуктов компании WildPackets включает, в частности, несколько анализаторов протоколов — в зависимости от предъявляемых требований. EtherPeek ориентирован на средний и малый бизнес. Я протестировал версию NX 2.1 (NX означает наличие модуля экспертной оценки). Данный анализатор предлагает свою разновидность типичного трехзонного окна протокольного анализатора — инструментальную панель и журнальное окно в двух нижних зонах (см. экран 7). Интерфейс пользователя в целом приятнее, чем аналогичный компонент в продуктах конкурентов, цветовая дифференциация подобрана лучше. И хотя с технической точки зрения я испытал некоторое разочарование, цветовое решение EtherPeek очень удачное и позволяет легче анализировать протоколы. Большинство анализаторов предлагают возможность цветокодировки пакетов, тогда как EtherPeek выполняет это автоматически и весьма тщательно. Я бы сказал, что среди всех рассмотренных мною продуктов EtherPeek имеет самый лучший пользовательский интерфейс с точки зрения формы и естественной последовательности выполняемых действий.

Хотя EtherPeek предназначен для использования в небольших сетях, функциональных возможностей в нем достаточно. Данный продукт позволяет по умолчанию отображать перехваченные пакеты в реальном времени (для большинства анализаторов оперативное отображение по умолчанию не включено, поскольку это снижает производительность), и на остальной работе это почти не отражается. При высокой нагрузке на сеть я продукт не испытывал, хотя было бы интересно понаблюдать за параметрами производительности. Здравый смысл подсказывает, что прекрасный интерфейс, насыщенный различными цветами, и разрешение имен, включенное по умолчанию в реальном времени, скажутся на падении производительности продукта при высокой загрузке сети, однако режим по умолчанию всегда можно отключить. EtherPeek, как и остальные продукты настоящего обзора, может открыть несколько окон захвата одновременно и в каждом отображать или различные перехваченные интерфейсы, или информацию пакетов с разных точек зрения. Например, в одном окне можно захватывать IP-трафик, в другом — IPX, а в третьем отображать RMON (при подключении расширения RMONGrabber).

EtherPeek декодирует сотни протоколов, и мне кажется, что делается это достаточно точно. Netasyst Network Analyzer и Observer обеспечивают более полную расшифровку для ряда протоколов, но в большинстве случаев EtherPeek вполне достаточно. Продукт показывает флаги TCP и их состояние, но не объясняет их назначения. Или другой пример: EtherPeek замечает, что были загружены HTTP-данные, но не обращает внимания на их характер — что это была графика, например. И в тот самый момент, когда я уже готов был решить, что EtherPeek — второсортный продукт, выяснилось, что он умеет точно распознавать IM, Kerberos и трафик VoIP, причем превосходит в этом своих конкурентов. Фактически на сетевом и прикладном уровне EtherPeek по своим возможностям составления отчетов идет сразу за Netasyst Network Analyzer. EtherPeek отмечает ошибки DNS, медленную работу серверов, ошибки POP Logon и наличие недостижимых хостов. Удачное размещение значков позволяет без труда обнаружить эти проблемы. К сожалению, оценить ситуацию на предмет наличия ошибки не всегда легко. Так, во время тестирования EtherPeek у меня проявилось большое число ложных срабатываний при проверке контрольных сумм TCP, но в WildPackets обещают в скором времени исправить положение.

Экран 6. Протоколы в LanHound

Для каждой трассы перехвата пакетов EtherPeek предоставляет много окон данных. Можно отобразить свыше 90 окон, итоговых сводок, статистических отчетов и видов под разными углами зрения. Большинство изменений выполняется простым щелчком мыши. Уникальная особенность EtherPeek, которую хорошо бы перенять и другим производителям подобных продуктов, — возможность быстро отфильтровать трафик, не требующий вывода на экран. Я нахожу эту возможность полезной в любой ситуации, особенно когда нужно быстро отфильтровать трафик удаленного мониторинга и сконцентрироваться на проблемах реального трафика.

Выбор за вами

Экран 7. Главное окно EtherPeek NX 2.1

Нечасто встретишь такую нишу программных продуктов, где было бы столько достойных конкурентов, как в случае с анализаторами сетевых протоколов. Даже продукты начального класса, типа Ethereal, богаты возможностями. Можно потратить массу времени, выбирая среди этих продуктов лучший. Для крупных распределенных сетей прекрасно подходит Observer (компания Network Instruments). Netasyst Network Analyzer (Network Associate) имеет превосходные экспертно-аналитические характеристики, отличается надежной дешифрацией протоколов, работает с подгружаемыми фильтрами программ-шпионов. OptiView Protocol Expert (Fluke Networks) и EtherPeek (WildPackets), предоставляющий множество аналитических возможностей, — достойный выбор для сетей малого и среднего бизнеса. LanHound — надежный анализатор протоколов, не бесплатный, зато вполне конкурентоспособный. Мой совет — выбирайте продукт, который обладает набором необходимых характеристик и находится в приемлемом для вас ценовом диапазоне.

Роджер Граймз — консультант по антивирусной защите. Имеет сертификаты CPA, MCSE, CNE, A+ и является автором книги «Malicious Mobile Code: Virus Protection for Windows» (изд-во O?Reilly & Associates). Его адрес: roger@rogeragrimes.com


Ethereal

www.ethereal.com

ЦЕНА: бесплатно

АРГУМЕНТЫ ДЛЯ ПРИНЯТИЯ РЕШЕНИЯ

ЗА: прекрасное решение, в том числе для начинающих, при отсутствии высоких требований к эксплуатации; продукт предоставляется бесплатно; простой и удобный графический интерфейс; поддержка сотен декодеров протоколов; выполнение потокового анализа TCP.

ПРОТИВ: менее детальное декодирование протоколов по сравнению с коммерческими продуктами; продукт не промышленного уровня; техническая поддержка не гарантируется.


OptiView Protocol

Expert Fluke Networkswww.flukenetworks.com

ЦЕНА: от 3195 до 3500 долл.

АРГУМЕНТЫ ДЛЯ ПРИНЯТИЯ РЕШЕНИЯ

ЗА: надежный декодер протоколов; поддержка распределенных сетей; наличие экспертного модуля (Expert-Analysis View); повторное воспроизведение трафика.

ПРОТИВ: интерфейс нуждается в доработке; для прикладного уровня необходима более глубокая экспертная проработка; не работает на платформах Windows 2003 и Windows 2000 Server.


Netasyst Network Analyzer

Network Associates, www.sniffer.com

ЦЕНА: от 1995 до 7495 долл. (WLX version); включает техническую поддержку по схеме «1 год, 24 x 7».

АРГУМЕНТЫ ДЛЯ ПРИНЯТИЯ РЕШЕНИЯ

ЗА: много функций;лучший модуль экспертного анализа среди всех рассматриваемых продуктов; поддержка VoIP; подкачка фильтров для обнаружения программ-шпионов; прекрасная техническая поддержка.

ПРОТИВ: отсутствие некоторых Windows-декодеров, таких как Kerberos и RDP; раздельные версии для локальной и беспроводной сети; для некоторых сетевых адаптеров поддерживается только смешанный режим.


Observer

Network Instrumentswww.networkinstruments.com

ЦЕНА: 995 долл., включая 90 дней стандартной поддержки; дополнительные пакеты обслуживания и поддержки по схеме 24x7.

АРГУМЕНТЫ ДЛЯ ПРИНЯТИЯ РЕШЕНИЯ

ЗА: простота использования; превосходная расшифровка пакетов; ориентирован на распределенную среду работы; поддержка локальных, распределенных и беспроводных сетей; повторное воспроизведение трафика.

ПРОТИВ: основное окно программы перегружено; небольшие проблемы с перерисовкой экрана; расшифровка протокола не всегда достаточно точна.


LanHound

Sunbelt Softwarewww.sunbelt-software.com

ЦЕНА: от 595 долл. за одну административную консоль и три удаленных агента.

АРГУМЕНТЫ ДЛЯ ПРИНЯТИЯ РЕШЕНИЯ

ЗА: простой в использовании графический интерфейс; хорошие итоговые отчеты; точная расшифровка SMB; повторное воспроизведение трафика.

ПРОТИВ: слабая дешифрация многих протоколов; не работает под управлением Windows 2003; отсутствует модуль экспертного анализа.


EtherPeek

WildPackets, www.wildpackets.com

ЦЕНА: от 3495 долл.; включает один год стандартной поддержки.

АРГУМЕНТЫ ДЛЯ ПРИНЯТИЯ РЕШЕНИЯ

ЗА: самый лучший графический интерфейс; хорошие экспертно-аналитические возможности; легкость работы с окнами и отчетами (за один щелчок мыши).

ПРОТИВ: наличие ложных срабатываний при анализе; различные продукты поддерживают различные платформы.


Аппаратные анализаторы протоколов

На протяжении нескольких последних лет такие поставщики, как Agilent Technologies, Fluke Networks, McAfee, Network Instruments и RADCOM, предлагают портативные анализаторы сетевых протоколов. Этот сегмент рынка постепенно насыщается аппаратными агентами перехвата сетевого трафика, смонтированными прямо в аппаратных стойках, и таким образом формируется распределенная среда анализа протоколов.

Выделяют три основных преимущества использования аппаратных продуктов: мобильность, повышенная пропускная способность при перехвате трафика, гибкость решения с точки зрения носителя данных. Начиная с таких «древних» продуктов, как Network General Sniffer, поставщики уже осознавали, что анализаторы сетевых протоколов подключаются нечасто и подолгу не используются. Чаще всего их применение бывает вызвано каким-нибудь очередным кризисом в сети. Другое достоинство аппаратного протокольного анализатора состоит в использовании специализированного набора микросхем, в котором реализована основная функциональность продукта. Благодаря этому больший объем информации захватывается за меньшее время, переполнение возникает гораздо реже и, соответственно, данные не сбрасываются. Многие продукты, работающие в гигабитных сетях, для поддержания необходимой производительности требуют аппаратных решений, связанных с управлением и мониторингом. Третье основное преимущество аппаратных решений связано с тем, что обычно оно обеспечивает большее число сетевых подключений, чем при работе с программными анализаторами протоколов. Большинство программных анализаторов могут подключаться только к сетям Ethernet или Token Ring. Аппаратные анализаторы, как правило, обладают несопоставимо большими возможностями при подключении, в том числе в случае локальных и распределенных сетей и беспроводных линий телекоммуникаций.

Если в организации планируется покупать аппаратный протокольный анализатор, необходимо ответить на следующие вопросы.

  • Как устройство управляется — через порт локальной консоли, или специальный интерфейс, или через программу удаленного доступа?
  • Как много данных может накопить устройство? Одни продукты могут сохранять гигабайты информации, другие ограничены сотнями килобитов.
  • Могут ли данные сохраняться на внешнем носителе, и если да, то в каком формате?
  • Предусмотрена ли печать отчетов?
  • Насколько просто выполняется обновление функциональных возможностей устройства? Как часто изготовитель оборудования выпускает такие обновления?

Аппаратный анализатор протоколов стоит обычно дороже, чем программный, но если требуется выполнять анализ высокоскоростных соединений или большого числа типов сетей, вероятно, аппаратное решение — самое лучшее.