Wireshark - это мощный сетевой анализатор, который может использоваться для анализа трафика, проходящего через сетевой интерфейс вашего компьютера. Он может понадобиться для обнаружения и решения проблем с сетью, отладки ваших веб-приложений, сетевых программ или сайтов. Wireshark позволяет полностью просматривать содержимое пакета на всех уровнях: так вы сможете лучше понять как работает сеть на низком уровне.
Все пакеты перехватываются в реальном времени и предоставляются в удобном для чтения формате. Программа поддерживает очень мощную систему фильтрации, подсветку цветом, и другие особенности, которые помогут найти нужные пакеты. В этой инструкции мы рассмотрим, как пользоваться Wireshark для анализа трафика. Недавно разработчики перешли к работе над второй веткой программы Wireshark 2.0, в неё было внесено множество изменений и улучшений, особенно для интерфейса. Именно её мы будем использовать в этой статье.
Перед тем, как переходить к рассмотрению способов анализа трафика, нужно рассмотреть, какие возможности поддерживает программа более подробно, с какими протоколами она может работать и что делать. Вот основные возможности программы:
- Захват пакетов в реальном времени из проводного или любого другого типа сетевых интерфейсов, а также чтение из файла;
- Поддерживаются такие интерфейсы захвата: Ethernet, IEEE 802.11, PPP и локальные виртуальные интерфейсы;
- Пакеты можно отсеивать по множеству параметров с помощью фильтров;
- Все известные протоколы подсвечиваются в списке разными цветами, например TCP, HTTP, FTP, DNS, ICMP и так далее;
- Поддержка захвата трафика VoIP-звонков;
- Поддерживается расшифровка HTTPS-трафика при наличии сертификата;
- Расшифровка WEP-, WPA-трафика беспроводных сетей при наличии ключа и handshake;
- Отображение статистики нагрузки на сеть;
- Просмотр содержимого пакетов для всех сетевых уровней;
- Отображение времени отправки и получения пакетов.
Программа имеет множество других функций, но это были те основные, которые могут вас заинтересовать.
Как пользоваться Wireshark
Я предполагаю, что программа у вас уже установлена, но если нет, то вы можете ее установить из официальных репозиториев. Для этого наберите команду в Ubuntu:
sudo apt install wireshark
После установки вы сможете найти программу в главном меню дистрибутива. Запускать Wireshark нужно с правами суперпользователя, потому что иначе она не сможет анализировать сетевые пакеты. Это можно сделать из главного меню или через терминал с помощью команды для KDE:
А для Gnome / Unity:
Главное окно программы разделено на три части: первая колонка содержит список доступных для анализа сетевых интерфейсов, вторая - опции для открытия файлов, а третья - помощь.
Анализ сетевого трафика
Для начала анализа выберите сетевой интерфейс, например eth0, и нажмите кнопку Start.
После этого откроется следующее окно, уже с потоком пакетов, которые проходят через интерфейс. Это окно тоже разделено на несколько частей:
- Верхняя часть - это меню и панели с различными кнопками;
- Список пакетов - дальше отображается поток сетевых пакетов, которые вы будете анализировать;
- Содержимое пакета - чуть ниже расположено содержимое выбранного пакета, оно разбито по категориям в зависимости от транспортного уровня;
- Реальное представление - в самом низу отображается содержимое пакета в реальном виде, а также в виде HEX.
Вы можете кликнуть по любому пакету, чтобы проанализировать его содержимое:
Здесь мы видим пакет запроса к DNS, чтобы получить IP-адрес сайта, в самом запросе отправляется домен, а в пакете ответа мы получаем наш вопрос, а также ответ.
Для более удобного просмотра можно открыть пакет в новом окне, выполнив двойной клик по записи:
Фильтры Wireshark
Перебирать пакеты вручную, чтобы найти нужные, очень неудобно, особенно при активном потоке. Поэтому для такой задачи лучше использовать фильтры. Для ввода фильтров под меню есть специальная строка. Вы можете нажать Expression , чтобы открыть конструктор фильтров, но там их очень много, поэтому мы рассмотрим самые основные:
- ip.dst - целевой IP-адрес;
- ip.src - IP-адрес отправителя;
- ip.addr - IP отправителя или получателя;
- ip.proto - протокол;
- tcp.dstport - порт назначения;
- tcp.srcport - порт отправителя;
- ip.ttl - фильтр по ttl, определяет сетевое расстояние;
- http.request_uri - запрашиваемый адрес сайта.
Для указания отношения между полем и значением в фильтре можно использовать такие операторы:
- == - равно;
- != - не равно;
- < - меньше;
- > - больше;
- <= - меньше или равно;
- >= - больше или равно;
- matches - регулярное выражение;
- contains - содержит.
Для объединения нескольких выражений можно применять:
- && - оба выражения должны быть верными для пакета;
- || - может быть верным одно из выражений.
Теперь рассмотрим подробнее на примерах несколько фильтров и попытаемся понять все знаки отношений.
Сначала отфильтруем все пакеты, отправленные на 194.67.215.. Наберите строку в поле фильтра и нажмите Apply . Для удобства фильтры Wireshark можно сохранять с помощью кнопки Save :
ip.dst == 194.67.215.125
А чтобы получить не только отправленные пакеты, но и полученные в ответ от этого узла, можно объединить два условия:
ip.dst == 194.67.215.125 || ip.src == 194.67.215.125
Также мы можем отобрать переданные большие файлы:
http.content_length > 5000
Отфильтровав Content-Type, мы можем выбрать все картинки, которые были загружены; выполним анализ трафика Wireshark, пакеты, которого содержат слово image:
http.content_type contains image
Чтобы очистить фильтр, вы можете нажать кнопку Clear . Бывает, вы не всегда знаете всю необходимую для фильтрации информацию, а просто хотите изучить сеть. Вы можете добавить любое поле пакета в качестве колонки и посмотреть его содержимое в общем окне для каждого пакета.
Например, я хочу вывести в виде колонки ttl (время жизни) пакета. Для этого откройте информацию о пакете, найдите это поле в разделе IP. Затем вызовите контекстное меню и выберите опцию Apply As Column :
Таким же образом можно создать фильтр на основе любого нужного поля. Выберите его и вызовите контекстное меню, затем нажмите Apply as filter или Prepare as filter , затем выбираем Selected, чтобы вывести только выбранные значения, или Not selected , чтобы их убрать:
Указанное поле и его значение будет применено или во втором случае подставлено в поле фильтра:
Таким способом вы можете добавить в фильтр поле любого пакета или колонку. Там тоже есть эта опция в контекстном меню. Для фильтрации протоколов вы можете использовать и более простые условия. Например, выполним анализ трафика Wireshark для протоколов HTTP и DNS:
Еще одна интересная возможность программы - использование Wireshark для отслеживания определённого сеанса между компьютером пользователя и сервером. Для этого откройте контекстное меню для пакета и выберите Follow TCP stream .
Затем откроется окно, в котором вы найдете все данные, переданные между сервером и клиентом:
Диагностика проблем Wireshark
Возможно, вам интересно, как пользоваться Wireshark 2.0 для обнаружения проблем в сети. Для этого в левом нижнем углу окна есть круглая кнопка, при нажатии на неё открывается окно Expet Tools . В нём Wireshark собирает все сообщения об ошибках и неполадках в сети:
Окно разделено на такие вкладки, как Errors, Warnings, Notices, Chats. Программа умеет фильтровать и находить множество проблем с сетью, и тут вы можете их очень быстро увидеть. Здесь тоже поддерживаются фильтры Wireshark.
Анализ трафика Wireshark
Вы можете очень просто понять, что именно скачивали пользователи и какие файлы они смотрели, если соединение не было зашифровано. Программа очень хорошо справляется с извлечением контента.
Для этого сначала нужно остановить захват трафика с помощью красного квадрата на панели. Затем откройте меню File -> Export Objects -> HTTP :
Анализатор сетей Ethernet METROSCOPE™
Компания Fluke Networks , представляет обновлённый анализатор сетей Ethernet - MetroScope .
Анализатор MetroScope предназначен для тестирования и документирования качества доступа и предоставляемых сервисов по каналам Ethernet.
Прибор используется как для квалификации новых подключений, так и для решения проблем с существующими. Тесты, использующиеся для решения данных задач: определение числа ошибочных битов ошибок BERT,тесты по рекомендации RFC 2544 и новая оригинальная методика тестирования ProVision™ . Совокупность этих тестов и методик позволяют измерять производительность Ethernet каналов провайдеров и корпоративных клиентов, проводить аудит и мониторинг за работой сети, а также контролировать доступность ключевых сервисов – сервера (HTTP, DNS, Mail и т.д.), VoIP, IPTV.
Все результаты тестов могут быть сохранены и распечатаны с логотипом компании, для использования как во внутреннем документообороте компании, так и как приложение к актам сдачи в эксплуатацию новых каналов связи.
Функциональные особеннности:
- Набор тестов ProVision™ - улучшенное тестирование каналов Carrier Ethernet
- Тесты в соответствии с RFC2544
- Интегрированный VoIP SIP телефон с функцией измерения MOS
- Базовое тестирование каналов для поддержки IPTV
- Многопоточное тестирование с разным приоритетом, для разных виртуальных каналов и в разных направлениях.
- Измерение джиттера с точностью до 40наносекунд
- Тестер частоты ошибок по битам (BERT тесты)
- Декодирование и отображение стекированных VLAN (QinQ) – двойное тегирование
- Возможность фильтрации по номеру VLAN
- Средства для измерения времени отклика серверов (HTTP, DNS, Mail и т.д.)
- Генерация пакетов с ошибками CRC для оценки реакции активного оборудования
- Поддержка устройств стандарта 802.3ah
- Тестирование беспроводных сетей 802.11a/b/g
- Измерение джиттера с точностью до микросекунд
- Результат тестирования Прошел/Не прошел для всех тестов
- Возможности создания отчетов о тестировании и создания сценариев тестов с настраиваемыми пользователями пределами тестов
- Возможность выбора длины кадра любого размера (до 2048байт)
- Отчеты содержат комментарии пользователя, логотип компании, настройки прибора, трассировку маршрута
- Работа в режиме удаленное устройство/отражение/петля:
- Второй MetroScope
- Дистанционный тестер LinkReflector
- Петля на базе порта активного оборудования
- Зонд Visual UpTime Select от компании Fluke Networks
- Устройство, поддерживающее стандарт 802.3ah
- Встроенные средства управления сетевыми устройствами (telnet, эмуляцию терминала, FTP и интернет-браузер)
- Тестирование как проводных (медь и оптика), так и беспроводных сетей стандарта 802.11
Сравнение методов тестирования:
RFC
2544
VS
ProVision
ProVision тест, разработанный для проверки каналов MetroEthernet в реальных, а не лабораторных условиях имеет ряд преимуществ, по сравнению с используемыми сегодня тестами по методике RFC 2544.
- Тесты RFC 2544 выполняются последовательно, т.е. один за другим, при использовании ProVision они выполняются одновременно. Это не только экономит время, но и позволяет не допустить ошибку, которая связана с задержкой в канале во время измерения пропускной способности.
- ProVision может быть настроен для проверки асимметричных каналов, используемых в xDSL.
- ProVision может тестировать несколько каналов с несколькими потоками одновременно (опция Multistream).
- Результаты тестов RFC 2544 обычно отображаются по отдельности, а с помощью тестов ProVision результаты отображаются на одном экране.
- Кроме обычного анализа минимумов, максимумов и средних значений полученных данных, с помощью ProVision мы можем строить тренды и анализировать их в реальном времени.
RFC 2 544 |
ProVision™ |
|
Пропускная способность (без потерь) |
||
Пропускная способность (с потерями) |
||
Пропускная способность асимметричных каналов |
||
Задержка |
||
Задержка |
||
Вариация задержки |
Да (обычно доступен) |
|
Одновременная настройка всех тестов |
||
Несколько потоков |
||
Отображение результатов разных параметров |
||
Отображение результатов по нескольким потокам |
||
Одновременные измерения |
||
Результаты в реальном времени |
||
Трендинг |
Тестирование каналов для поддержки IPTV
MetroScope имеет возможность генерации multicast трафика с помощью встроенного генератора трафика. Новое приложение «multicast application» позволяет подключиться к группе устройств и контролировать время отклика.
Мониторинг и анализ качества VoIP
В новой версии MetroScope доступна функция тестирования VoIP (опция), позволяющая:
- выполнять вызовы с прибора на любой другой IP телефон
- воспроизводить предварительно подготовленный файл в формате WAV
- генерировать трафик и выполнять звонки с возможностью отображения графика с точностью до 1 секунды , который отображает качество речи (MOS, R-Factor, количество потерянных пакетов, вариацию задержки), продолжительность разговора и количество переданных кадров.
Автоматическое тестирование и инвентаризация сети.
При подключении к локальной сети MetroScope запускает процедуру автоматического обнаружения (до 1000 устройств). На экран прибора выводится информация о диапазоне IP-адресов, масках подсетей, контроллерах доменов и т.д. Все найденные устройства сети группируются в таблице по принадлежности к сетям IP, VLAN, IPX или NetBIOS. Функция поиска позволяет находить устройства по IP-адресу, имени или MAC-адресу.
Измерение времени отклика сервера
Данная функция позволяет измерить время отклика TCP-портов таких приложений, Mail, DNS, FTP или WWW. Тестирование портов приложений осуществляется в режиме клиента, что позволяет избавиться от препятствий для команды PING, таких как сетевые экраны и низкий приоритет протокола ICMP. Ответы портов приложений можно анализировать с помощью встроенной функции Trace Route, которая позволяет определить точное место снижения производительности на протяжении всего маршрута.
Мониторинг сетей VLAN
В анализаторе MetroScope реализовано множество функций, предназначенных для ускорения поисков неполадок в работе сетей. К ним относятся функции обнаружения и мониторинга VLAN, позволяющие отслеживать их загрузку, а также находить ошибки в конфигурации коммутаторов и других сетевых устройств.
Анализ работы беспроводных сетей Wi - Fi (802.11 a / b / g )
В обновлённом анализаторе MetroScope
теперь доступна опция тестирования сетей Wi-Fi, с её помощью приборполучает информацию об уровне сигнала, соотношении сигнал/шум, степень загруженности канала и настройках безопасности всех найденных беспроводных устройств.
Прибор определяет количество, местоположение и настройки всех точек доступа и клиентов беспроводной сети.
Тестирование физического уровня ЛВС
Кроме того, анализатор MetroScope
позволяет тестировать оптоволоконные и медные кабельные линии на физическом уровне.
При тестировании оптоволоконных линий контролируется входная и выходная мощность оптического сигнала, а также температура, ток смещения лазера и напряжение питания трансивера.
Что касается диагностики медных UTP кабелей, то приборопределяет место повреждения в кабеле (с помощью встроенного рефлектометра), составляет схему его разводки и генерирует тональный сигнал, используемый для трассировки кабеля (с помощью индуктивного щупа IntelliTone Pro или PRO3000)
В набор MTSCOPE-KIT
дополнительно
входит недорогой сетевой тестер LinkRunner DUO CE , позволяющий осуществлять end-to-end тестирование сетевых трактов на физическом, канальном и сетевом уровнях без использования второго прибора MetroScope.
Для тестирования нескольких сетевых соединений один анализатор MetroScope
может взаимодействовать с неограниченным числом устройств LinkRunner DUO CE
, которые не только «отражают» трафик, но и сами по себе являются мощными диагностическими приборами.
Сравнение моделей анализатора MetroScope
* Включая Device Discovery, Network Discovery, VLAN Discovery, Nearest Switch, Switch Scan, Key Devices, Problem Detection
** Тестирование может выполняться в режиме петли на физическом уровне или в качестве ответного устройства могут выступать LinkReflector, второй анализатор MetroScope, либо устройство, поддерживающее стандарт 802.3ah
| Артикул | Код по Каталогу | Наименование |
| MTSCOPE-KIT | MTSCOPE-KIT | Комплект MetroScope SPA |
| MTSCOPE | MTSCOPE | Сетевой анализатор MetroScope SPA |
| LRPRO-REFLECT | LRPRO-REFLECT | Дистанционный тестер LinkReflector |
| LRPRO-LION | LRPRO-LION | Комплект литий-ионных аккумуляторов для LinkReflec |
| ES2-SX | ES2-SX | 1000BASE-SX гигабитный волоконно-оптический транси |
| ES2-ZX | ES2-ZX | 1000BASE-ZX гигабитный волоконно-оптический транси |
| ES2-LX | ES2-LX | 1000BASE-LX гигабитный волоконно-оптический транси |
| MS-SX | MS-SX | MS-SX, волоконно-оптический трансивер SFP, DDM, GI |
| ES-BATTERY | ES-BATTERY | Запасная батарея |
| ES-BATT-CHG | ES-BATT-CHG | Внешнее зарядное устройство для батареи |
| MS-AUTO-CHG | MS-AUTO-CHG | Зарядное устройство с питанием от прикуривателя |
| OPVS-KB | Мини-клавиатура USB | |
| 944806 | 944806 | Нуль-модемный кабель (DB9) |
| DTX-ACUN | DTX-ACUN | Блок питания, универсальный |
Сетевые анализаторы представляют собой эталонные измерительные приборы для диагностики и сертификации кабелей и кабельных систем. Они могут с высокой точностью измерить все электрические параметры кабельных систем, а также работают на более высоких уровнях стека протоколов. Сетевые анализаторы генерируют синусоидальные сигналы в широком диапазоне частот, что позволяет измерять на приемной паре амплитудно-частотную характеристику и перекрестные наводки, затухание и суммарное затухание. Сетевой анализатор представляет собой лабораторный прибор больших размеров, достаточно сложный в обращении.
Многие производители дополняют сетевые анализаторы функциями статистического анализа трафика - коэффициента использования сегмента, уровня широковещательного трафика, процента ошибочных кадров, а также функциями анализатора протоколов, которые обеспечивают захват пакетов разных протоколов в соответствии с условиями фильтров и декодирование пакетов.
7.3.4. Кабельные сканеры и тестеры
Основное назначение кабельных сканеров - измерение электрических и механических параметров кабелей: длины кабеля, параметра NEXT, затухания, импеданса, схемы разводки пар проводников, уровня электрических шумов в кабеле. Точность измерений, произведенных этими устройствами, ниже, чем у сетевых анализаторов, но вполне достаточна для оценки соответствия кабеля стандарту.
Для определения местоположения неисправности кабельной системы (обрыва, короткого замыкания, неправильно установленного разъема и т. д.) используется метод «отраженного импульса» (Time Domain Reflectometry, TDR). Суть этого метода состоит в том, что сканер излучает в кабель короткий электрический импульс и измеряет время задержки до прихода отраженного сигнала. По полярности отраженного импульса определяется характер повреждения кабеля (короткое замыкание или обрыв). В правильно установленном и подключенном кабеле отраженный импульс почти отсутствует.
Точность измерения расстояния зависит от того, насколько точно известна скорость распространения электромагнитных волн в кабеле. В различных кабелях она будет разной. Скорость распространения электромагнитных волн в кабеле (Nominal Velocity of Propagation, NVP) обычно задается в процентах от скорости света в вакууме. Современные сканеры содержат в себе электронную таблицу данных о NVP для всех основных типов кабелей, что дает возможность пользователю устанавливать эти параметры самостоятельно после предварительной калибровки.
Кабельные сканеры - это портативные приборы, которые обслуживающий персонал может постоянно носить с собой.
Кабельные тестеры - наиболее простые и дешевые приборы для диагностики кабеля. Они позволяют определить непрерывность кабеля, однако, в отличие от кабельных сканеров, не дают ответа на вопрос о том, в каком месте произошел сбой.
7.3.5. Многофункциональные портативные приборы мониторинга
В последнее время начали выпускаться многофункциональные портативные приборы, которые объединяют в себе возможности кабельных сканеров, анализаторов протоколов и даже некоторые функции систем управления, сохраняя в то же время такое важное свойство, как портативность. Многофункциональные приборы мониторинга имеют специализированный физический интерфейс, позволяющий выявлять проблемы и тестировать кабели на физическом уровне, который дополняется микропроцессором с программным обеспечением для выполнения высокоуровневых функций.
Рассмотрим типичный набор функций и свойств такого прибора, который оказывается очень полезным для диагностики причин разнообразных неполадок в сети, происходящих на всех уровнях стека протоколов, от физического до прикладного.
Интерфейс пользователя
Прибор обычно предоставляет пользователю удобный и интуитивно понятный интерфейс, основанный на системе меню. Графический интерфейс пользователя реализован на многострочном жидкокристаллическом дисплее и индикаторах состояния на светодиодах, извещающих пользователя о наиболее общих проблемах наблюдаемых сетей. Имеется обширный файл подсказок оператору с уровневым
доступом в соответствии с контекстом. Информация о состоянии сети представляется таким образом, что пользователи любой квалификации могут ее быстро понять.
Функции проверки аппаратуры и кабелей
Многофункциональные приборы сочетают наиболее часто используемые на практике функции кабельных сканеров с рядом новых возможностей тестирования.
Сканирование кабеля
Функция позволяет измерять длину кабеля, расстояние до самого серьезного дефекта и распределение импеданса по длине кабеля. При проверке неэкранированной витой пары могут быть выявлены следующие ошибки: расщепленная пара, обрывы, короткое замыкание и другие виды нарушения соединения.
Для сетей Ethernet на коаксиальном кабеле эти проверки могут быть осуществлены на работающей сети.
Функция определения распределения кабельных жил Осуществляет проверку правильности подсоединения жил, наличие промежуточных разрывов и перемычек на витых парах. На дисплей выводится перечень связанных между собой контактных групп.
Функция определения карты кабелей
Используется для составления карты основных кабелей и кабелей, ответвляющихся от центрального помещения.
Автоматическая проверка кабеля
В зависимости от конфигурации возможно определить длину, импеданс, схему подключения жил, затухание и параметр NEXT на частоте до 100 МГц. Автоматическая проверка выполняется для:
коаксиальных кабелей;
экранированной витой пары с импедансом 150 Ом;
неэкранированной витой пары с сопротивлением 100 Ом.
Целостность цепи при проверке постоянным током
Эта функция используется при проверке коаксиальных кабелей для верификации правильности используемых терминаторов и их установки.
Определение номинальной скорости распространения
Функция вычисляет номинальную скорость распространения (Nominal Velocity of Propagation, NVP) по кабелю известной длины и дополнительно сохраняет полученные результаты в файле для определяемого пользователем типа кабеля (User Defined cable type) или стандартного кабеля.
Комплексная автоматическая проверка пары «сетевой адаптер-концентратор»
Этот комплексный тест позволяет последовательно подключить прибор между конечным узлом сети и концентратором. Тест дает возможность автоматически опре-
делить местонахождение источника неисправности - кабель, концентратор, сетевой адаптер или программное обеспечение станции.
Автоматическая проверка сетевых адаптеров
Проверяет правильность функционирования вновь установленных или «подозрительных» сетевых адаптеров. Для сетей Ethernet по итогам проверки сообщаются: МАС-адрес, уровень напряжения сигналов (а также присутствие и полярность импульсов Link Test для 10BASE-T). Если сигнал не обнаружен на сетевом адаптере, то тест автоматически сканирует соединительный разъем и кабель для их диагностики.
Функции сбора статистики
Эти функции позволяют в реальном масштабе времени проследить за изменением наиболее важных параметров, характеризующих «здоровье» сегментов сети. Статистика обычно собирается с разной степенью детализации по разным группам.
Сетевая статистика
В этой группе собраны наиболее важные статистические показатели - коэффициент использования сегмента (utilization), уровень коллизий, уровень ошибок и уровень широковещательного трафика. Превышение этими показателями определенных порогов в первую очередь говорят о проблемах в том сегменте сети, к которому подключен многофункциональный прибор.
Статистика ошибочных кадров
Эта функция позволяет отслеживать все типы ошибочных кадров для определенной технологии. Например, для технологии Ethernet характерны следующие типы ошибочных кадров.
Укороченные кадры (Short frames). Это кадры, имеющие длину, меньше допустимой, то есть меньше 64 байт. Иногда этот тип кадров дифференцируют на два класса - просто короткие кадры (short), у которых имеется корректная контрольная сумма, и «коротышки» (runts), не имеющие корректной контрольной суммы. Наиболее вероятными причинами появления укороченных кадров являются неисправные сетевые адаптеры и их драйверы.
Удлиненные кадры (Jabbers). Это кадры, имеющие длину, превышающую допустимое значение в 1518 байт с хорошей или плохой контрольной суммой. Удлиненные кадры являются следствием затянувшейся передачи, которая появляется из-за неисправностей сетевых адаптеров.
Кадры нормальных размеров, но с плохой контрольной суммой (Bad FCS) и кадры с ошибками выравнивания по границе байта. Кадры с неверной контрольной суммой являются следствием множества причин - плохих адаптеров, помех на кабелях, плохих контактов, некорректно работающих портов повторителей, мостов, коммутаторов и маршрутизаторов. Ошибка выравнивания всегда сопровождается ошибкой по контрольной сумме, поэтому некоторые средства анализа-трафика не делают между ними различий. Ошибка выравнивания может быть следствием прекращения передачи кадра при распознавании коллизии передающим адаптером.
Кадры-призраки (ghosts) являются результатом электромагнитных наводок на кабеле. Они воспринимаются сетевыми адаптерами как кадры, не имеющие нормального признака начала кадра - 10101011. Кадры-призраки имеют длину более 72 байт, в противном случае они классифицируются как удаленные коллизии. Количество обнаруженных кадров-призраков в большой степени зависит от точки подключения сетевого анализатора. Причинами их возникновения являются петли заземления и другие проблемы с кабельной системой.
Знание процентного распределения общего количества ошибочных кадров по их типам может многое подсказать администратору о возможных причинах неполадок в сети. Даже небольшой процент ошибочных кадров может привести к значительному снижению полезной пропускной способности сети, если протоколы, восстанавливающие искаженные кадры, работают с большими тайм-аутами ожидания квитанций. Считается, что в нормально работающей сети процент ошибочных кадров не должен превышать 0,01 %, то есть не более 1 ошибочного кадра из 10 000.
Статистика по коллизиям
Эта группа характеристик дает информацию о количестве и видах коллизий, отмеченных на сегменте сети, позволяет определить наличие и местонахождение проблемы. Анализаторы протоколов обычно не могут дать дифференцированной картины распределения общего числа коллизий по их отдельным типам, в то же время знание преобладающего типа коллизий может помочь понять причину плохой работы сети.
Ниже приведены основные типы коллизий сети Ethernet.
Локальная коллизия (Local Collision). Является результатом одновременной передачи двух или более узлов, принадлежащих к тому сегменту, в котором производятся измерения. Если многофункциональный прибор не генерирует кадры, то в сети на витой паре или волоконно-оптическом кабеле локальные коллизии не фиксируются. Слишком высокий уровень локальных коллизий является следствием проблем с кабельной системой.
Удаленная коллизия (Remote Collision). Эти коллизии происходят на другой стороне повторителя (по отношению к тому сегменту, в котором установлен измерительный прибор). В сетях, построенных на многопортовых повторителях (10Base-T, 10Base-FL/FB, 100Base-TX/FX/T4, Gigabit Ethernet), все измеряемые коллизии являются удаленными (кроме тех случаев, когда анализатор сам генерирует кадры и может быть виновником коллизии). Не все анализаторы протоколов и средства мониторинга одинаковым образом фиксируют удаленные коллизии. Это происходит из-за того, что некоторые измерительные средства и системы не фиксируют коллизии, происходящие при передаче преамбулы.
Поздняя коллизия (Late Collision). Это коллизия, которая происходит после передачи первых 64 байт кадра (по протоколу Ethernet коллизия должна обнаруживаться при передаче первых 64 байт кадра). Результатом поздней коллизии будет кадр, который имеет длину более 64 байт и содержит неверное значение контрольной суммы. Чаще всего это указывает на то, что сетевой адаптер, являющийся источником конфликта, оказывается не в состоянии правильно прослушивать линию и поэтому не может вовремя остановить передачу. Другой причиной поздней коллизии является слишком большая длина кабельной системы или слишком большое количество промежуточных повторителей, приводящее к превышению максимального значения времени двойного оборота сигнала. Средняя интенсивность коллизий в нормально работающей сети должна быть меньше 5 %. Большие всплески (более 20 %) могут быть индикатором кабельных проблем.
Распределение используемых сетевых протоколов
Эта статистическая группа относится к протоколам сетевого уровня. На дисплее отображается список основных протоколов в убывающем порядке относительно процентного соотношения кадров, содержащих пакеты данного протокола к общему числу кадров в сети.
Основные отправители (Top Sendes)
Функция позволяет отслеживать наиболее активные передающие узлы локальной сети. Прибор можно настроить на фильтрацию по единственному адресу и выявить список основных отправителей кадров для данной станции. Данные отражаются на дисплее в виде диаграммы вместе с перечнем основных отправителей кадров.
Основные получотели (Top Receivers)
Функция позволяет следить за наиболее активными узлами-получателями сети. Информация отображается в виде, аналогичном приведенному выше.
Основные генераторы широковещательного трафика (Top Broadcasters)
Функция выявляет станции сети, которые больше остальных генерируют кадры с широковещательными и групповыми адресами.
Генерирование трафика (Traffic Generation)
Прибор может генерировать трафик для проверки работы сети при повышенной нагрузке. Трафик может генерироваться параллельно с активизированными функциями Сетевая статистика, Статистика ошибочных кадров иСтатистика по коллизиям.
Пользователь может задать параметры генерируемого трафика, такие как интенсивность и размер кадров. Для тестирования мостов и маршрутизаторов прибор может автоматически создавать заголовки IP- и IPX-пакетов, и все что требуется от оператора - это внести адреса источника и назначения.
В ходе испытаний пользователь может увеличить на ходу размер и частоту следования кадров с помощью клавиш управления курсором. Это особенно ценно при поиске источника проблем производительности сети и условий возникновения отказов.
Функции анализа протоколов
Обычно портативные многофункциональные приборы поддерживают декодирование и анализ только основных протоколов локальных сетей, таких как протоколы стеков TCP/IP, Novell NetWare, NetBIOS и Banyan VINES.
В некоторых многофункциональных приборах отсутствует возможность декодирования захваченных пакетов, как в анализаторах протоколов, а вместо этого собирается статистика о наиболее важных пакетах, свидетельствующих о наличии проблем в сетях. Например, при анализе протоколов стека TCP/IP собирается статистика по пакетам протокола ICMP, с помощью которого маршрутизаторы сообщают конечным узлам о возникновении разного рода ошибок. Для ручной проверки достижимости узлов сети в приборы включается поддержка утилиты IP Ping, а также аналогичных по назначению утилит NetWare Ping и NetBIOS Ping.
Общие сведения
Инструментальные средства, называемые сетевыми анализаторами, получили свое имя в честь Sniffer Network Analyzer. Этот продукт был выпущен в 1988 году компанией Network General (теперь -- Network Associates) и стал одним из первых устройств, позволяющих менеджерам буквально не выходя из-за стола узнать о том, что происходит в крупной сети. Первые анализаторы считывали заголовки сообщений в пакетах данных, пересылаемых по сети, предоставляя, таким образом, администраторам информацию об адресах отправителей и получателей, размере файлов и другие сведения низкого уровня. Причем все это -- в дополнение к проверке корректности передачи пакетов. С помощью графов и текстовых описаний анализаторы помогали сетевым администраторам провести диагностику серверов, сетевых каналов, концентраторов и коммутаторов, а также приложений. Грубо говоря, сетевой анализатор прослушивает или "обнюхивает" ("sniffs") пакеты определенного физического сегмента сети. Это позволяет анализировать трафик на наличие некоторых шаблонов, исправлять определенные проблемы и выявлять подозрительную активность. Сетевая система обнаружения вторжений является ничем иным, как развитым анализатором, который сопоставляет каждый пакет в сети с базой данных известных образцов вредоносного трафика, аналогично тому, как антивирусная программа поступает с файлами в компьютере. В отличие от средств, описанных ранее, анализаторы действуют на более низком уровне.
Если обратиться к эталонной модели ВОС, то анализаторы проверяют два нижних уровня - физический и канальный.
|
Номер уровня модели ВОС |
Название уровня |
Примеры протоколов |
|
Уровень 7 |
Прикладной уровень |
DNS, FTP, HTTP, SMTP, SNMP, Telnet |
|
Уровень 6 |
Уровень представления |
|
|
Уровень 5 |
Уровень сеанса |
|
|
Уровень 4 |
Транспортный уровень |
NetBIOS, TCP, UDP |
|
Уровень 3 |
Сетевой уровень |
ARP, IP, IPX, OSPF |
|
Уровень 2 |
Канальный уровень |
Arcnet, Ethernet, Token ring |
|
Уровень 1 |
Физический уровень |
Коаксиальный кабель, оптоволокно, витая пара |
Физический уровень - это реальная физическая проводка или иная среда, примененная для создания сети. На канальном уровне происходит первоначальное кодирование данных для передачи через конкретную среду. Сетевые стандарты канального уровня включают беспроводной 802.11, Arcnet, коаксиальный кабель, Ethernet, Token Ring и многое другое. Анализаторы обычно зависят от типа сети, в которой они работают. Например, для анализа трафика в сети Ethernet вы должны иметь анализатор Ethernet.
Существуют анализаторы коммерческого класса, от таких производителей, как Fluke, Network General и других. Обычно это специальные аппаратные устройства, которые могут стоить десятки тысяч долларов. Хотя эти аппаратные средства способны осуществлять более глубокий анализ, можно создать недорогой сетевой анализатор с помощью программного обеспечения с открытыми исходными текстами и недорогого ПК на Intel-платформе.
Виды анализаторов
Сейчас выпускается множество анализаторов, которые подразделяются на два вида. К первому относятся автономные продукты, устанавливаемые на мобильном компьютере. Консультант может брать его с собой при посещении офиса клиента и подключать к сети, чтобы собрать данные диагностики.
Первоначально портативные устройства, предназначенные для тестирования работы сетей, были рассчитаны исключительно на проверку технических параметров кабеля. Однако со временем производители наделили свое оборудование рядом функций анализаторов протоколов. Современные сетевые анализаторы способны обнаруживать широчайший спектр возможных неполадок -- от физического повреждения кабеля до перегрузки сетевых ресурсов.
Второй вид анализаторов является частью более широкой категории аппаратного и программного обеспечения, предназначенного для мониторинга сети и позволяющего организациям контролировать свои локальные и глобальные сетевые службы, в том числе Web. Эти программы дают администраторам целостное представление о состоянии сети. Например, с помощью таких продуктов можно определить, какие из приложений выполняются в данный момент, какие пользователи зарегистрировались в сети и кто из них генерирует основной объем трафика.
Помимо выявления низкоуровневых характеристик сети, например источник пакетов и пункт их назначения, современные анализаторы декодируют полученные сведения на всех семи уровнях сетевого стека Open System Interconnection (OSI) и зачастую выдают рекомендации по устранению проблем. Если же анализ на уровне приложения не позволяет дать адекватную рекомендацию, анализаторы производят исследование на более низком, сетевом уровне.
Современные анализаторы обычно поддерживают стандарты удаленного мониторинга (Rmon и Rmon 2), которые обеспечивают автоматическое получение основных данных о производительности, таких как информация о нагрузке на доступные ресурсы. Анализаторы, поддерживающие Rmon, могут регулярно проверять состояние сетевых компонентов и сравнивать полученные данные с накопленными ранее. Если необходимо, они выдадут предупреждение о том, что уровень трафика или производительность превосходит ограничения, установленные сетевыми администраторами.
Компания NetScout Systems представила систему nGenius Application Service Level Manager, предназначенную для контроля времени реакции на отдельных участках канала доступа к Web-сайту и определения текущей производительности серверов. Это приложение может анализировать производительность в общедоступной сети, с тем, чтобы воссоздавать общую картину на компьютере пользователя. Датская фирма NetTest (бывшая GN Nettest) начала предлагать Fastnet -- систему сетевого мониторинга, которая помогает компаниям, занимающимся электронным бизнесом, планировать емкость каналов, искать и устранять неисправности в сети.
Анализ конвергентных (мультисервисных) сетей
Распространение мультисервисных сетей (converged networks) может оказать решающее влияние на развитие телекоммуникационных систем и систем передач данных в будущем. Идея объединить в единой сетевой инфраструктуре, основанной на пакетном протоколе, возможность передачи и данных, и голосовых потоков, и видеоинформации - оказалась весьма заманчивой для провайдеров, специализирующихся на предоставлении телекоммуникационных сервисов, ведь она в одно мгновенье способна существенно расширить спектр предоставляемых ими услуг.
По мере того как корпорации начинают осознавать эффективность и ценовые преимущества конвергентных сетей на базе протокола IP, производители сетевых инструментальных средств активно разрабатывают соответствующие анализаторы. В первой половине года многие фирмы представили компоненты для своих продуктов сетевого администрирования, рассчитанные на передачу голоса по IP-сетям.
«Конвергенция породила новые сложности, с которыми приходится иметь дело сетевым администраторам, -- заметил Гленн Гроссман, директор по управлению продуктами компании NetScout Systems. -- Голосовой трафик очень чувствителен к временным задержкам. Анализаторы могут просматривать каждый бит и байт, передаваемый по проводам, интерпретировать заголовки и автоматически определять приоритет данных».
Использование технологий конвергенции голоса и данных может пробудить новую волну интереса к анализаторам, поскольку поддержка приоритетности трафика на уровне IP-пакетов становится существенной для функционирования голосовых и видеослужб. Например, фирма Sniffer Technologies выпустила Sniffer Voice -- инструментарий, предназначенный для администраторов мультисервисных сетей. Этот продукт не только предоставляет традиционные службы диагностики для управления трафиком электронной почты, Internet и баз данных, но и выявляет сетевые проблемы, а также дает рекомендации по их устранению, дабы обеспечить корректную передачу голосового трафика по IP-сетям.
Обратная сторона использования анализаторов
Следует помнить, что с анализаторами связаны две стороны медали. Они помогают поддерживать сеть в рабочем состоянии, но их могут применять и хакеры для поиска в пакетах данных имен пользователей и паролей. Для предотвращения перехвата паролей посредством анализаторов служит шифрование заголовков пакетов (например, с помощью стандарта Secure Sockets Layer).
В конце концов, пока не существует альтернативы сетевому анализатору в тех ситуациях, когда необходимо понять, что же происходит в глобальной или корпоративной сети. Хороший анализатор позволяет разобраться в состоянии сетевого сегмента и определить объем трафика, а также установить, как этот объем варьируется в течение дня, какие пользователи создают самую большую нагрузку, в каких ситуациях возникают проблемы с распространением трафика или возникает нехватка полосы пропускания. Благодаря применению анализатора можно получить и проанализировать все фрагменты данных в сетевом сегменте за данный период.
Однако сетевые анализаторы стоят дорого. Если вы планируете приобрести его, то прежде четко сформулируйте, чего вы от него ожидаете.
Особенности применения сетевых анализаторов
Чтобы применять сетевые анализаторы этично и продуктивно, необходимо выполнять следующие рекомендации.
Всегда необходимо разрешение
Анализ сети, как и многие другие функции безопасности, имеет потенциал для ненадлежащего использования. Перехватывая все данные, передаваемые по сети, можно подсмотреть пароли для различных систем, содержимое почтовых сообщений и другие критичные данные, как внутренние, так и внешние, так как большинство систем не шифрует свой трафик в локальной сети. Если подобные данные попадут в нехорошие руки, это, очевидно, может привести к серьезным нарушениям безопасности. Кроме того, это может стать нарушением приватности служащих. Прежде всего, следует получить письменное разрешение руководства, желательно высшего, прежде чем начинать подобную деятельность. Следует также предусмотреть, что делать с данными после их получения. Помимо паролей, это могут быть другие критичные данные. Как правило, протоколы сетевого анализа должны вычищаться из системы, если только они не нужны для уголовного или гражданского преследования. Существуют документированные прецеденты, когда благонамеренных системных администраторов увольняли за несанкционированный перехват данных.
Нужно понимать топологию сети
Прежде чем настраивать анализатор, необходимо полностью разобраться в физической и логической организацию данной сети. Проводя анализ в неправильном месте сети, можно получит ь ошибочные результаты или просто не найти то, что нужно. Необходимо проверить отсутствие маршрутизаторов между анализирующей рабочей станцией и местом наблюдения. Маршрутизаторы будут направлять трафик в сегмент сети, только если происходит обращение к расположенному там узлу. Аналогично, в коммутируемой сети, понадобится сконфигурировать порт, с которым установлено подключение, как порт "монитора" или "зеркала". Разные производители используют различную терминологию, но, по сути, необходимо, чтобы порт действовал как концентратор, а не как коммутатор, так как он должен видеть весь трафик, идущий через коммутатор, а не только тот, что направлен на рабочую станцию. Без такой настройки порт монитора будет видеть только то, что направлено в порт, с которым установлено подключение, и сетевой широковещательный трафик.
Необходимо использовать жесткие критерии поиска
В зависимости от того, что требуется найти, использование открытого фильтра (то есть показ всего) сделает вывод данных объемным и трудным для анализа. Лучше использовать специальные критерии поиска, чтобы сократить вывод, который выдает анализатор. Даже если не известно точно, что нужно искать, можно, тем не менее, написать фильтр для ограничения результатов поиска. Если требуется найти внутреннюю машину, правильно будет задать критерии для просмотра только исходных адресов внутри данной сети. Если необходимо отследить определенный тип трафика, скажем, трафик FTP, то можно ограничить результаты только тем, что приходит в порт, используемый приложением. Поступая таким образом, можно добиться значительно лучших результатов анализа.
Установка эталонного состояния сети
Применив сетевой анализатор во время нормальной работы , и записав итоговые результаты, достигается эталонное состояние, которое можно сравнивать с результатами, полученными во время попыток выделения проблемы. Анализатор Ethereal, рассматриваемый ниже, создает для этого несколько удобных отчетов. Будут получены также некоторые данные для отслеживания использования сети в зависимости от времени. При помощи этих данных можно определить, когда сеть насыщается и каковы основные причины этого - перегруженный сервер, рост числа пользователей, изменение типа трафика и т.п. Если есть точка отсчета, проще понять, кто и в чем виноват.
Данная статья будет, в какой-то мере, посвящена безопасности. У меня недавно возникла мысль, а как проверить, какие приложение используют интернет соединение, куда может утекать трафик, через какие адреса идет соединение и многое другое. Есть пользователи, которые также задаются этим вопросом.
Допустим у вас есть точка доступа, к которой подключены только вы, но вы замечаете, что скорость соединения какая-то низкая, звоните провайдеру, они отмечают, что все нормально или что-то подобное. А вдруг к вашей сети кто-то подключен? Можно попробовать с помощью методов из этой статьи узнать, какие программы, которые требуют Интернет-соединения он использует. А вообще, вы можете использовать эти методы, как душе угодно.
Ну что, давайте анализировать?
Команда netstat для анализа сетевой активности
Этот способ без использования всяких программ, нам лишь понадобится командная строка. В Windows есть специальная утилита netstat, которая занимается анализом сетей, давайте использовать ее.
Желательно, чтобы командная строка была запущена от имени администратора. В Windows 10 можно нажать на меню Пуск правой кнопкой мыши и выбрать соответствующий пункт.
В командной строке вводим команду netstat и видим много интересной информации:
Мы видим соединения, в том числе, их порты, адреса, соединения активные и ожидающиеся. Это конечно круто, но нам этого мало. Нам бы узнать, какая программа использует сеть, для этого вместе с командной netstat можно использовать параметр –b, тогда команда будет выглядеть так:
| netstat –b |
Теперь в квадратных скобочках будет видна утилита, которая пользуется интернетом.
Это не единственный параметр в этой команде, для отображения полного списка введите команду netstat –h .
Но, как показывает практика, многие утилиты командной строки не дают той информации, которой хотелось бы видеть, да и не так это удобно. В качестве альтернативы мы будем использовать стороннее программное обеспечение – TCPView.
Мониторинг сетевой активности с помощью TCPView
Скачать программу можно отсюда . Ее даже не нужно устанавливать вы просто ее распаковываете и запускаете утилиту. Также она бесплатная, но не поддерживает русский язык, но этого особо и не нужно, из этой статьи вы поймете, как ей пользоваться.
Итак, утилита TCPView занимается мониторингом сетей и показывает в виде списка все подключенные к сети программы, порты, адреса и соединения.
В принципе тут все предельно ясно, но некоторые пункты программы я поясню:
- Столбец Process , ясное дело, показывает название программы или процесса.
- Столбец PID указывает на идентификатор подключенного к сети процесса.
- Столбец Protocol указывает на протокол процесса.
- Столбец Local adress – локальный адрес процесса данного компьютера.
- Столбец Local port – локальный порт.
- Столбец Remote adress указывает на адрес, к которому подключена программа.
- Столбец State – указывает на состояние соединения.
- Там, где указано Sent Packets и Rcvd Packets указывает на отправленное и полученное количество пакетов, тоже самое и со столбцами Bytes .
Еще с помощью программы можно нажать на процесс правой кнопкой мыши и завершить его, либо посмотреть, где он находится.
Названия адреса, как показано на изображении ниже можно преобразовать в локальный адрес, для этого нужно нажать горячие клавиши Ctrl+R .
Если вы увидите строки разного цвета, например, зеленого, то это означает запуск нового соединения, если покажется красный цвет, то соединение завершено.
Вот и все основные настройки программы, там еще есть мелки параметры, типа настройки шрифта и сохранения списка соединения.
Если вам понравилась эта программа, то обязательно используйте ее. Опытные пользователи точно найдут для каких целей применить ее.