- Какво представлява анализаторът на протоколи
- Списък на най-добрите инструменти за анализ на мрежови протоколи
- Често задавани въпроси
- Заключение
Разгледайте някои от най-добрите инструменти за анализ на мрежови протоколи и изберете най-добрия анализатор на протоколи, за да оцените производителността на мрежата:
В този урок ще разгледаме анализатора на протоколи и различните му употреби. Също така ще открием някои от основните инструменти, използвани в индустрията, за улавяне и анализиране на тенденциите в мрежата и други параметри с помощта на различни инструменти за анализ на протоколи.
Анализаторът на протоколи е известен като мрежов анализатор, тъй като може да бъде вмъкнат в мрежата, за да наблюдава и улавя дейности в реално време и да предпазва мрежата и нейните структури от злонамерени атаки.
По този начин той може да извърши това, като вкара инструмента в мрежовия канал, и в един и същи момент инструментът може да извърши дейността за множество устройства и мрежови канали.
Поставянето на мрежовия анализатор в комуникационния канал или само в мрежата зависи основно от бизнес изискванията на мрежата и собствениците.
Например, инструментът Wire shark може да бъде вмъкнат в мрежовия канал, като например може да бъде част от защитната стена за откриване и докладване на спам. От друга страна, той може да работи и като инструмент, базиран на уеб интерфейс, за наблюдение, улавяне и отстраняване на неизправности в мрежовите елементи.
Какво представлява анализаторът на протоколи
Анализаторът на протоколи е комбинация от хардуерна и софтуерна система, в която хардуерната част отговаря за улавянето и анализирането на данните от мрежата или комуникационния канал, а софтуерната част отговаря за показването на уловените резултати във вид, който може да бъде прочетен от крайния потребител.
Анализаторът на протоколи дава представа за различни мрежови протоколи като USB, I2C, CAN и др., чрез които данните се предават по комуникационната връзка.
По този начин анализаторът на протоколи помага на инженерите да отстраняват грешки, да наблюдават производителността на продукта, трафика на връзката за данни във вградените системи през целия период на разработване на софтуерния или хардуерния продукт.
Използване на анализатор на протоколи или мрежов анализатор
- Една от основните употреби е оценяване на производителността на мрежата и осигуряване на защита на мрежата срещу злонамерена дейност в рамките на организацията. Това се прави чрез събиране и записване на пакетите с данни, които се движат в мрежата.
- Тя може да се използва за конкретно устройство или за много устройства едновременно в една и съща мрежа.
- Той локализира частите от мрежата, които причиняват претоварване на трафика в мрежата.
- Той идентифицира необичайните характеристики на пакетите в мрежата и в интернет.
- Самият той конфигурира изскачащите прозорци за аларми и предупреждения за заплахите.
- Създаване на удобен за крайния потребител уеб портал с графичен потребителски интерфейс за изтегляне и извличане на резултатите от анализа.
- Непрекъснато наблюдение и локализиране на мрежовите атаки със зловреден софтуер в реално време.
- Той отстранява грешки в различните реализации на мрежовия протокол.
- Активните мрежови устройства, които протоколният анализатор тества, са осцилатори, приемо-предаватели, тунери, приемници, модулатори и др.
- Пасивните мрежови устройства, които протоколният анализатор тества, са маршрутизатори, мостове, изолатори, резонатори, дуплексори, филтри, сплитери, адаптери, RLC и др.
Видове анализатори на протоколи
- Имаме различни видове протоколни анализатори. Един от тях е нефилтриран пакетен шпионин Той може да капсулира всички необработени пакети, които постъпват в мрежата и в интернет, и да копира резултата в локалното устройство на хост компютъра за по-късен анализ. кабелни мрежи обикновено го практикуват и съхраняват резултатите за по-късен анализ.
- Друг е филтриран, пакетно разузнаване . той е проектиран по такъв начин, че да улавя само няколко пакета данни, протичащи в мрежата, за която е предназначен. По този начин анализаторът на протоколи интелигентно ще събира пакетите само на своите потребители и ще може лесно да извършва анализ.
- Сайтът безжични мрежи да внедрят в мрежата си филтрирани видове пакетни сонди, за да могат да получат резултатите от по-широк кръг интерфейси в един и същи момент.
- Въпреки че мрежовите анализатори са комбинация от софтуерна и хардуерна част, можем да ги категоризираме като хардуерен анализатор на протоколи и софтуерен анализатор на протоколи .
- Първият от тях, който капсулира и анализира пакетите в различните интерфейси на мрежата, е известен като протоколни анализатори Те се използват за отстраняване на грешки в хардуера и сложните интерфейси на мрежата.
- По-късно се използва само софтуер за улавяне на пакетите данни и се работи само на софтуерно ниво. Използва се предимно за безжичните мрежи през LAN и WAN връзки за анализ на различните модели. мрежови анализатори .
Предимства на използването на анализатори на протоколи
Те включват:
- Помага при минимизиране на времето за отстраняване на грешки . можем лесно да улавяме сложните пакети с данни и да ги анализираме с минимално забавяне. Като цяло подобряваме производителността на мрежата и съкращаваме времето за отстраняване на грешки повече от два пъти.
- Разполагането на протоколни анализатори в мрежата напълно изключва ръчната процедура за улавяне и анализ на мрежови грешки. минимален възможностите за човешка грешка и коефициент на забавяне при улавянето на пакетите с данни и обработката им.
- Той предлага заснемане в реално време и може да работи едновременно в много мрежи с голям брой мрежови елементи. процес на автоматизация е добавила повече стойност към процеса на срещане и елиминиране на злонамерената заплаха в мрежата.
- Той може да извършва операции за по-широк набор от интерфейси и някои сложни мрежови протоколи, също като PCIe.
- С помощта на пакетния анализатор можем да проследим кои сайтове крайният потребител разглежда повече в интернет. Наред с това можем да наблюдаваме вида на изтеглените файлове от крайния потребител. Тази функция помага на организациите да записват историята на сърфиране на служителите и съответно да надграждат своите функции за сигурност.
Рискови фактори
По-долу са изброени рисковите фактори:
- Понякога в корпоративните мрежи, поради грешка на служител, потребителят изтегля спам имейли в пощенската си кутия, което дава достъп на неоторизиран пакетен шпионин до корпоративната мрежа. Така хакерите могат да използват поверителните данни за лична изгода и да повредят мрежата.
- Освен това се компрометират личните данни на служителите на всяка организация, тъй като системният администратор ще проверява и следи целия входящ трафик и моделите на сърфиране на потребителя.
Списък на най-добрите инструменти за анализ на мрежови протоколи
Това е списъкът на популярните анализатори на протоколи:
- Инструмент за дълбока инспекция и анализ на пакети на SolarWinds
- ManageEngine NetFlow Analyzer
- Анализатор на протоколи Wireshark
- PRTG Network Monitor
- Omnipeek
- Дебъгер на HTTP
Подробни прегледи:
#1) Инструмент за дълбока проверка и анализ на пакети на SolarWinds
Най-доброто нещо, което прави този инструмент различен от другите, е, че той предлага една уникална платформа модулна структура, както при анализатора на мрежовия поток, за да наблюдава и анализира мрежовите характеристики, да управлява конфигурацията и управлението на устройствата за потребителски трафик, които са интегрирани в един интерфейс.
Характеристики:
- Той предлага отстраняване на неизправности в мрежовото оборудване от високо ниво чрез една платформа.
- Конфигуриране на DPI сигнали и получаване на автоматични сигнали, когато DPI инструментите забележат злонамерена промяна или спад във времето за реакция на пакетите.
- Той подобрява качеството на работата с помощта на инструменти за задълбочен анализ на пакети, предназначени за прецизна оценка на работата на крайния потребител.
- Той е оборудван с функция за специфично наблюдение на използването на честотната лента.
- В сътрудничество със Cisco NBAR2 може директно да осигури видимост на портовете за HTTP и HTTPS трафик, без да е необходимо друго поддържащо устройство.
- Генерирането на седмични, дневни, месечни и годишни отчети за преглед на продукта е много лесно и достъпно, тъй като предоставя уеб интерфейс на потребителя за удобно разбиране.
- В днешния свят на мобилни мрежи, когато всичко се извършва чрез мобилни телефони, това улеснява анализа на трафика в мрежата на WLC, което помага и за наблюдение на безжичните устройства.
Цена: $1072
#2) ManageEngine NetFlow Analyzer
Той е цялостен инструмент за анализ на трафика и използва технологии за потоци, за да осигури навременна видимост на мотивите за широчината на честотната лента в мрежата. Той измерва главно моделите на използване на широчината на честотната лента и потоците.
С помощта на NetFlow Analyzer ще получите пълна яснота за производителността на приложенията, устройствата, интерфейсите, IP адресите, безжичната мрежа, WAN връзките, SSID адресите, мрежовия трафик и точките за достъп, както и ще наблюдавате използването на честотната лента. NetFlow Analyzer също така подпомага различни технологии на Cisco.
Като AVC, NBAR IP SLA и CQB.
Характеристики:
- Получете навременна информация за честотната лента на мрежата си с доклади с шестдесетсекундна детайлност.
- Разпознаване и класифициране на нестандартни приложения, които претоварват честотната лента на мрежата ви.
- Направете информирани заключения за развитието на вашата честотна лента с помощта на доклади за планиране на капацитета.
- Идентифициране на аномалии, чувствителни към контекста, и прониквания от типа "нулев ден".
- Тя може да се задълбочи в подробностите за обхвата на интерфейса, за да открие моделите на трафика и производителността на устройството.
- Чрез използването на Cisco NBAR можете да се запознаете с трафика от слой 7 и да разпознавате приложения, които използват динамични номера на портове или се крият зад добре познати портове.
- Анализиране и изчисляване на различни приложения чрез внедряване на IP SLA монитори.
- Той може да проследява мрежови аномалии, които превъзхождат мрежовата защитна стена.
- Тя създава фактуриране при поискване за счетоводството и обратни плащания на отделите.
Цена: Пробна версия безплатно за един месец.
#3) Анализатор на протоколи Wireshark
Това е един от най-широко използваните и предпочитани инструменти за анализ на мрежови протоколи. Той се използва широко от правителствени агенции, образователни институции, търговски и различни организации с нестопанска цел.
Характеристики:
- Страхотно разследване на множество протоколи и възможност за добавяне на още и разследване във всеки един момент.
- Онлайн заснемане и офлайн анализ на събитията.
- Поддържа множество платформи, като macOS, Linux, Microsoft, Solaris, NetBSD, FreeBSD и др.
- Той е оборудван с най-потенциалните филтри за дисплеи в индустрията.
- Той може също така да чете данни в реално време от PPP/HDLC, ATM, Ethernet, USB, Frame Relay, FDDI, IEEE 802.11 и много други (в зависимост от платформата).
- Той също така осигурява поддръжка на декриптиране за протоколи на ниво сигурност като WPA/WPA2, IPSec, SNMPv3, SSL/TLS, WEP, ISAKMP и Kerberos.
- Заможни потребители в анализа на VoIP.
- Можем да получим изходните данни във всеки един от желаните формати, например обикновен текст, CSV, PostScript или XML.
- Заснетите изходни данни могат да се преглеждат чрез TTY-режим, помощната програма TShark или графичния потребителски интерфейс.
- Четене/записване и улавяне на много файлови формати: Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, tcpdump (libpcap), Microsoft Network Monitor, NetXray, Sniffer Pro, Network General Sniffer (компресиран и некомпресиран), Cisco Secure IDS iplog, NetScreen snoop, Shomiti/Finisar Surveyor, RADCOM WAN/LAN Analyzer, Network Instruments Observer, Tektronix K12xx, WildPacketsEtherPeek/TokenPeek/AiroPeek,Visual Networks Visual UpTime и различни други.
Цена: Безплатно
URL на уебсайта: Wireshark Protocol Analyzer
#4) PRTG Network Monitor
Това помага да се оцени потокът на трафика въз основа на IP адрес, вид на комуникационния канал и протокол, за да се разпознае най-големият оратор в мрежата ви. Той се фокусира главно върху улесняване на идентифицирането и решаването на проблеми на ИТ индустрията.
Той наблюдава всички мрежови устройства и приложения и представя ясен преглед. Оборудван е с над 200 сензора и съответно може да се наблюдават всички мрежови елементи.
Характеристики:
- Той е оборудван с функцията за предупреждение, която уведомява потребителя всеки път, когато системата открие някаква грешка, заплаха или нередовни модели в трафика в мрежата. Това е известно като гъвкаво предупреждение. Той има вграден софтуер за уведомяване, който информира потребителя за текущите тенденции като имейли, push съобщения, аларми, аудиофайлове и др.
- Той предлага на потребителите няколко модула на потребителския интерфейс. Оборудван е със защитени със SSL потребителски интерфейси и поддържа приложения, базирани на Android и IOS.
- Той осигурява наблюдение в реално време и наблюдение и заснемане на събитията в мрежата в реално време. Интегриран е с над 250 различни вида карти с тенденции и диаграми на трафика и също така предлага персонализиране на картите и статиите според нуждите на бизнеса.
- Той разполага с отдалечени сонди, с които предлага разпределено наблюдение. Чрез него можем да наблюдаваме няколко мрежи, които физически се намират на различни отдалечени места в организацията, централно само от едно място. Като цяло се засилва качеството на обслужване на мрежата.
- Потребителите могат да извличат резултатите от дневния, седмичния и месечния анализ под формата на отчети в различни формати като PDF, XML, CSV и HTML. Това ни помага да генерираме допълнителни резултати, които са полезни за цялостния анализ на ефективността.
Цена: PRTG 500 - $1750
Адрес на уебсайта: PRTG Network Monitor
#5) Omnipeek
Omnipeek е високотехнологичен анализатор на мрежови протоколи, който има потенциала да декодира стотици протоколи за бързо отстраняване на неизправности и анализ на мрежата, когато възникне някаква мрежова грешка. Той дава цялостно решение и представа за скоростта на вашата мрежа, изпълнението на приложенията и сигурността.
Характеристики:
- Той предоставя персонализирани работни процеси в няколко области на мрежите, за да даде възможност за най-добра визуализация на производителността на приложенията в реално време.
- Той предлага отстраняване на неизправности в WiFi мрежа, тъй като е оборудван с WiFi адаптер, който представлява свързано с USB устройство за WLAN, предназначено за улавяне на безжични пакети. Той поддържа улавяне на безжичен трафик до 900 Mbps и може да понася операции с различни честотни канали като 20 MHz, 60 MHz и др.
- В интеграция с Live Capture Omnipeek предлага отдалечен мониторинг на крайната мрежа и отстраняване на проблеми на ниво приложение в сайтове, NOC центрове и WAN връзки.
- Това позволява едновременно наблюдение и отстраняване на неизправности при видео и гласов трафик през IP с обобщена статистика на високо ниво за много медии, изчерпателна сигнализация, възпроизвеждане на повиквания и медиен анализ.
- Безпроблемно отстранявайте неизправности в устройствата на крайните потребители от разстояние и по сигурен начин с помощта на криптирани файлове, заобикаляйки необходимостта от пътуване до местоположението на потребителя.
- Инициира автоматични предупреждения, базирани на вграденото разбиране, когато мрежовите политики са нарушени.
- Светкавично предвиждане и взаимовръзка с пакетни данни, метаданни, потоци и файлове.
- Той има широки възможности за наблюдение и възприемане, за да получи безпрецедентна видимост в мрежите и приложенията.
Цена : Безплатно
Адрес на уебсайта: Omnipeek
#6) Дебъгер на HTTP
Това е инструмент за анализиране и разузнаване на мрежови протоколи за Windows, който улавя целия мрежов трафик и го съхранява на диска за анализ. Освен това той може да декодира различни видове модели на SSL трафик.
Той може да декодира стотици различни сложни протоколи и да филтрира точно протокола, който влияе на мрежата, както и да открие дефектните портове.
Характеристики:
- Той може да прихваща и уведомява за използването на мрежата и да докладва за броя на дефектните портове и кадри в мрежата.
- Той е проектиран по такъв начин, че да дава алармени известия за предварително определени стойности. Ако зададените правила бъдат нарушени в някакъв случай, тогава той ще генерира автоматично предупреждение за това събитие.
- Той може да открива и докладва нивото на грешка на ниво работни станции, както и в мрежата, и да ги докладва съответно.
- Той може да открива и отчита HTTP заглавията, бисквитките, HTTP съдържанието и други заглавия от интернет с уеб браузъра и може да открива и декодира дефектните пакети.
- Той работи както за кабелни, така и за безжични мрежи и може да работи и за различни базирани на потребителя настолни приложения.
- Той може да открива и съобщава за изтеклите излъчвани пакети данни в мрежата. Също така може да уведомява предварително за изтичането на сроковете на кадрите данни, които текат в мрежата. Това може да сведе до минимум претоварването на мрежата в нея.
Цена : $96
Адрес на уебсайта : Дебъгер на HTTP
Често задавани въпроси
В #1) Какво представляват протоколите?
Отговор: В контекста на компютърните мрежи това е комбинация от правила за проектиране и разработване на данни. Това е езикът, който компютърът разбира. Чрез използването на тези протоколи различните компютри могат да комуникират помежду си, без да са свързани физически.
Q #2) Еднакви ли са пакетният анализатор и анализаторът на протоколи?
Отговор: Да, и двата вида са едни и същи. Sniffer анализира пакетите с данни, които се предават между мрежовите компоненти в рамките на една мрежа или в интернет.
Q #3) Как анализаторите на протоколи ще откриват злонамерени атаки?
Отговор: Той генерира различни пакети с шаблони, когато се сблъска с вируси. След това генерира предупреждение към системата и тя ще докладва на администратора чрез поща или предупредително съобщение за активността на вирусите.
В #4) Как хакерите използват шпионски програми?
Отговор: Те могат да използват снайпери, като въвеждат неморално своя пакет в мрежата и след това могат да получат достъп до поверителни данни, като например пароли и тенденции на мрежовия трафик.
Заключение
В този урок разгледахме концепцията за протоколни анализатори, които са известни още като мрежови анализатори или пакетни снайпери. Разгледахме различните видове протоколни анализатори.
Описахме също така някои предимства и рискови фактори, свързани с използването на мрежовия анализатор с някои от популярно използваните инструменти за улавяне и наблюдение на мрежовите тенденции с помощта на екранни снимки и техните характеристики.