网络协议分析是指通过
程序分析网络数据包的
协议头和尾,从而了解信息和相关的
数据包在产生和传输过程中的行为。包含该程序的软件和设备就是协议分析器。
介绍
在典型的网络结构中,
网络协议和通信采用的是分层式设计方案。在当前最流行的OSI网络结构参考模型中,同层协议之间能相互进行通信。协议分析器的主要功能之一就是分析各层协议头和尾,如果它通过多层协议头尾和其相关信息来识别网络通信过程中可能出现的问题时,该协议分析方法称之为专家分析。众多协议分析器商家都推出相应产品,诸如 Network General 公司的
嗅探器(Sniffer),它专门用于网络故障诊断和修复。 另外还有一些协议分析器能将多层协议和
数据包从低级数据包编译升级为高级数据包,以便于实时观察以及了解网络的使用和流量分析。当
网络流量观察为用户的主要目标时,会采纳此种协议分析器。佳文公司推出的
数据包分析器正是这样一种工具。
作用
协议分析器既能用于合法
网络管理也能用于窃取网络信息。网络运作和维护都可以采用协议分析器:如监视
网络流量、分析
数据包、监视网络资源利用、执行
网络安全操作规则,鉴定分析
网络数据以及诊断并修复网络问题,等等。
分类
当前市面上存在多种协议分析器,基本上分两类:手提式和分布式。
手提式
是一种单机设备或者说 PC 机软件。它能够捕获数据、实时控制和重操作数据分析。手提式协议分析器的零售价一般在数百到数万美元左右,这主要取决于各个供应商以及网络监视和数据分析的实现效果(以太网、
千兆位以太网、光纤
广域网链路等等)。手提式协议分析器一般应用于小型公司或者大型公司的现场工程师等。佳文公司推出的
数据包分析器是一种手提式协议分析器。
分布式
主要由两部分组成:一个是各网络点上的监视探测器,另一个是网络操作中心 (NOC)的控制台。大型企业一般采用该装置实现中心监控网络运行。分布式协议分析器的零售价一般在数千美元到数百万美元左右。除了上述实现功能外,分布式探测器还能用来收集和分析 SNMP 和 RMON 数据,以全面了解网络情况。
手提式协议分析器的主要供应商有:Network General 公司、Agilent Technologies 公司、Wildpackets 公司和 Javvin Technologies 公司等;分布式协议分析器的主要供应商有:Network General 公司、Netscout 公司等。
其他
此外,网络协议分析器(Network Protocol Analyzer)还被称为
网络嗅探器(Sniffer)、数据包分析器(Packet Analyzer)、网络嗅听器(Network Sniffing Tool)、
网络分析器(Network Analyzer)等。
处理任务
协议分析器是一种用于监督和跟踪网络活动的诊断工具。它们可以是计算机上运行的软件,也可以是包含特殊线路板和软件的特殊单元设备。协议分析器通常是可以被网络技术人员携带到不同地点的便携式设备。下面列出它们可以处理的一些任务:
1.显示网络上传输信息分组的类型信息。你可以监督这些分组以监督安全性,确定失效情况,或监督和优化一个网络。
2.在一个互联网络上查询所有结点,或在任何一个特定结点与所有其它结点之间进行
点对点通信检测。
确定整个互联网络的配置。
3.从一个或所有结点分析关键数据,或根据预先定义的一组阈值报告不正常的活动。
4.显示性能数据,例如通信量和被服务的分组。
5.提供关于网络有效性、网络性能、可能的硬件错误、噪音问题和应用软件问题的一些有用信息。
分析器
网络协议分析器网络协议分析器Ethereal 是最好的、开放源码的、获得广泛应用的网络协议分析器,支持Linux 和windows 平台。在该系统中加入新的协议解析器十分简单,自从1998年发布最早的Ethereal 0.2版本发布以来,志愿者为Ethereal 添加了大量新的协议解析器,如今Ethereal 已经支持五百多种协议解析。其原因是Ehereal 具有一个良好的可扩展性的设计结构,这样才能适应
网络发展的需要不断加入新的协议解析器。
分析协议的格式
Ethereal
抓包后的界面有三个部分,上部为
报文列表窗口,显示的是对抓到的每个数据报文进行分析后的总结型信息,包括编号、时间、源地址、目标地址、协议、信息。中部为协议树窗口,显示的是数据
报文的协议信息。在
报文列表窗口选择不同条目则协议树窗口的内容随之改变为相应的协议信息。下部为16 进制
报文窗口,可以显示报文在
物理层的数据形式。
在
抓包完成后,显示过滤器可以用来找到你感兴趣的包,也可根据协议、是否存在某个域、域值、域值之间的关系来查找你感兴趣的包。
Ethereal 的抓包特征
* 可以从不同类别的网络硬件
抓包,如Ethernet、 Token Ring、ATM 等;
* 停止
抓包时不同的触发器相似:如抓获数据的总数、抓包时间,抓获包的数目;
* 根据
包过滤器的条件,从抓获的全部数据中进行过滤,减去符合条件的包。
使用Ethereal 进行网络协议分析时应当注意:必须有管理员权限才能开始
抓包过程;必须选择正确的网络接口来抓获包数据;必须在网络的正确的位置抓包才能看到想看到的业务流量。