網(wǎng)絡(luò)協(xié)議分析是指通過程序分析網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議頭和尾,從而了解信息和相關(guān)的數(shù)據(jù)包在產(chǎn)生和傳輸過程中的行為。包含該程序的軟件和設(shè)備就是協(xié)議分析器。
協(xié)議分析器(程序)
在典型的網(wǎng)絡(luò)結(jié)構(gòu)中,網(wǎng)絡(luò)協(xié)議和通信采用的是分層式設(shè)計(jì)方案。在當(dāng)前最流行的OSI網(wǎng)絡(luò)結(jié)構(gòu)參考模型中,同層協(xié)議之間能相互進(jìn)行通信。協(xié)議分析器的主要功能之一就是分析各層協(xié)議頭和尾,如果它通過多層協(xié)議頭尾和其相關(guān)信息來識別網(wǎng)絡(luò)通信過程中可能出現(xiàn)的問題時,該協(xié)議分析方法稱之為專家分析。眾多協(xié)議分析器商家都推出相應(yīng)產(chǎn)品,諸如 Network General 公司的嗅探器(Sniffer),它專門用于網(wǎng)絡(luò)故障診斷和修復(fù)。另外還有一些協(xié)議分析器能將多層協(xié)議和數(shù)據(jù)包從低級數(shù)據(jù)包編譯升級為高級數(shù)據(jù)包,以便于實(shí)時觀察以及了解網(wǎng)絡(luò)的使用和流量分析。當(dāng)網(wǎng)絡(luò)流量觀察為用戶的主要目標(biāo)時,會采納此種協(xié)議分析器。佳文公司推出的數(shù)據(jù)包分析器正是這樣一種工具。
協(xié)議分析器的作用
協(xié)議分析器既能用于合法網(wǎng)絡(luò)管理也能用于竊取網(wǎng)絡(luò)信息。網(wǎng)絡(luò)運(yùn)作和維護(hù)都可以采用協(xié)議分析器:如監(jiān)視網(wǎng)絡(luò)流量、分析數(shù)據(jù)包、監(jiān)視網(wǎng)絡(luò)資源利用、執(zhí)行網(wǎng)絡(luò)安全操作規(guī)則,鑒定分析網(wǎng)絡(luò)數(shù)據(jù)以及診斷并修復(fù)網(wǎng)絡(luò)問題,等等。
協(xié)議分析器的分類
當(dāng)前市面上存在多種協(xié)議分析器,基本上分兩類:手提式和分布式。
手提式協(xié)議分析器
是一種單機(jī)設(shè)備或者說 PC 機(jī)軟件。它能夠捕獲數(shù)據(jù)、實(shí)時控制和重操作數(shù)據(jù)分析。手提式協(xié)議分析器的零售價一般在數(shù)百到數(shù)萬美元左右,這主要取決于各個供應(yīng)商以及網(wǎng)絡(luò)監(jiān)視和數(shù)據(jù)分析的實(shí)現(xiàn)效果(以太網(wǎng)、千兆位以太網(wǎng)、光纖廣域網(wǎng)鏈路等等)。手提式協(xié)議分析器一般應(yīng)用于小型公司或者大型公司的現(xiàn)場工程師等。佳文公司推出的數(shù)據(jù)包分析器是一種手提式協(xié)議分析器。
分布式協(xié)議分析器
主要由兩部分組成:一個是各網(wǎng)絡(luò)點(diǎn)上的監(jiān)視探測器,另一個是網(wǎng)絡(luò)操作中心(NOC)的控制臺。大型企業(yè)一般采用該裝置實(shí)現(xiàn)中心監(jiān)控網(wǎng)絡(luò)運(yùn)行。分布式協(xié)議分析器的零售價一般在數(shù)千美元到數(shù)百萬美元左右。除了上述實(shí)現(xiàn)功能外,分布式探測器還能用來收集和分析 SNMP 和 RMON 數(shù)據(jù),以全面了解網(wǎng)絡(luò)情況。
手提式協(xié)議分析器的主要供應(yīng)商有:Network General 公司、Agilent Technologies 公司、Wildpackets 公司和 Javvin Technologies 公司等;分布式協(xié)議分析器的主要供應(yīng)商有:Network General 公司、Netscout 公司等。
其他協(xié)議分析器
此外,網(wǎng)絡(luò)協(xié)議分析器(Network Protocol Analyzer)還被稱為網(wǎng)絡(luò)嗅探器(Sniffer)、數(shù)據(jù)包分析器(Packet Analyzer)、網(wǎng)絡(luò)嗅聽器(Network Sniffing Tool)、網(wǎng)絡(luò)分析器(Network Analyzer)等。
協(xié)議分析器處理的任務(wù)
協(xié)議分析器是一種用于監(jiān)督和跟蹤網(wǎng)絡(luò)活動的診斷工具。它們可以是計(jì)算機(jī)上運(yùn)行的軟件,也可以是包含特殊線路板和軟件的特殊單元設(shè)備。協(xié)議分析器通常是可以被網(wǎng)絡(luò)技術(shù)人員攜帶到不同地點(diǎn)的便攜式設(shè)備。下面列出它們可以處理的一些任務(wù):
1.顯示網(wǎng)絡(luò)上傳輸信息分組的類型信息。你可以監(jiān)督這些分組以監(jiān)督安全性,確定失效情況,或監(jiān)督和優(yōu)化一個網(wǎng)絡(luò)。
2.在一個互聯(lián)網(wǎng)絡(luò)上查詢所有結(jié)點(diǎn),或在任何一個特定結(jié)點(diǎn)與所有其它結(jié)點(diǎn)之間進(jìn)行點(diǎn)對點(diǎn)通信檢測。
確定整個互聯(lián)網(wǎng)絡(luò)的配置。
3.從一個或所有結(jié)點(diǎn)分析關(guān)鍵數(shù)據(jù),或根據(jù)預(yù)先定義的一組閾值報(bào)告不正常的活動。
4.顯示性能數(shù)據(jù),例如通信量和被服務(wù)的分組。
5.提供關(guān)于網(wǎng)絡(luò)有效性、網(wǎng)絡(luò)性能、可能的硬件錯誤、噪音問題和應(yīng)用軟件問題的一些有用信息。
網(wǎng)絡(luò)協(xié)議分析器
網(wǎng)絡(luò)協(xié)議分析器網(wǎng)絡(luò)協(xié)議分析器ethereal 是目前最好的、開放源碼的、獲得廣泛應(yīng)用的網(wǎng)絡(luò)協(xié)議分析器,支持Linux 和windows 平臺。在該系統(tǒng)中加入新的協(xié)議解析器十分簡單,自從1998年發(fā)布最早的Ethereal 0.2版本發(fā)布以來,志愿者為Ethereal 添加了大量新的協(xié)議解析器,如今Ethereal 已經(jīng)支持五百多種協(xié)議解析。其原因是Ehereal 具有一個良好的可擴(kuò)展性的設(shè)計(jì)結(jié)構(gòu),這樣才能適應(yīng)網(wǎng)絡(luò)發(fā)展的需要不斷加入新的協(xié)議解析器。
分析協(xié)議的格式
ethereal 抓包后的界面有三個部分,上部為報(bào)文列表窗口,顯示的是對抓到的每個數(shù)據(jù)報(bào)文進(jìn)行分析后的總結(jié)型信息,包括編號、時間、源地址、目標(biāo)地址、協(xié)議、信息。中部為協(xié)議樹窗口,顯示的是數(shù)據(jù)報(bào)文的協(xié)議信息。在報(bào)文列表窗口選擇不同條目則協(xié)議樹窗口的內(nèi)容隨之改變?yōu)橄鄳?yīng)的協(xié)議信息。下部為16 進(jìn)制報(bào)文窗口,可以顯示報(bào)文在物理層的數(shù)據(jù)形式。
在抓包完成后,顯示過濾器可以用來找到你感興趣的包,也可根據(jù)協(xié)議、是否存在某個域、域值、域值之間的關(guān)系來查找你感興趣的包。
Ethereal 的抓包特征
* 可以從不同類別的網(wǎng)絡(luò)硬件抓包,如Ethernet、 Token Ring、ATM 等;
* 停止抓包時不同的觸發(fā)器相似:如抓獲數(shù)據(jù)的總數(shù)、抓包時間,抓獲包的數(shù)目;
* 抓包過程中同時顯示編譯后(解析)的包。
* 根據(jù)包過濾器的條件,從抓獲的全部數(shù)據(jù)中進(jìn)行過濾,減去符合條件的包。
使用Ethereal 進(jìn)行網(wǎng)絡(luò)協(xié)議分析時應(yīng)當(dāng)注意:必須有管理員權(quán)限才能開始抓包過程;必須選擇正確的網(wǎng)絡(luò)接口來抓獲包數(shù)據(jù);必須在網(wǎng)絡(luò)的正確的位置抓包才能看到想看到的業(yè)務(wù)流量。
參考資料 >