Сетевой анализатор
Сетевой анализатор — это специальное программное обеспечение или сложный программно-аппаратный комплекс, производящий захват сетевого трафика с дальнейшим его анализом, проводящий тестирование пропускной способности и производительности сети. Сетевой анализатор подключается к сети точно так же, как и обычный узел, отличие состоит только в том, что анализатор может принимать любые сетевые пакеты, передаваемые по сети, в то время как обычная станция — только адресованные ей.
Возможности сетевых анализаторов:
Возможность измерения среднестатистических показателей трафика в сегменте локальной сети, в котором запущен анализатор, измерение коэффициента использования сегмента, количество хороших и плохих кадров, прошедших через сегмент.
Возможность работы с несколькими агентами, поставляющими захваченные пакеты из разных сегментов локальной сети.
Фильтрация захватываемых и отображаемых пакетов. Условия фильтрации задаются в зависимости от значения адресов назначения и источника, типа протокола или значения определенных полей пакета. Пакет либо игнорируется, либо записывается в буфер захвата. Использование фильтров значительно ускоряет и упрощает анализ, так как исключает захват или просмотр ненужных в данный момент пакетов.
Возможность выставлять условия для захвата пакетов. Такими условиями являются: время суток, продолжительность процесса захвата, появление определенных значений в кадрах данных. Условия можно использовать совместно с фильтрами, позволяя более детально и глубоко проводить анализ захваченных данных.
Многоканальность. Некоторые анализаторы протоколов позволяют проводить одновременную запись пакетов от нескольких сетевых адаптеров, что удобно для сопоставления процессов, происходящих в разных сегментах сети.
Сетевой анализатор работает на канальном уровне модели OSI и не производит оценку работы физического уровня сети.
В качестве сетевого анализатора подходящим вариантом является программа Wireshark.
Wireshark — специализированное программное обеспечение, предназначенное для анализа сетевого трафика, проходящего в локальной сети. Он может понадобиться для обнаружения и решения проблем с сетью, отладки веб-приложений, сетевых программ или сайтов. Wireshark позволяет полностью просматривать содержимое пакета на всех уровнях. Все пакеты перехватываются в реальном времени и показываются в формате, удобным для ознакомления с их содержимым.
Основные возможности программы:
захват пакетов в реальном времени из любого типа сетевых интерфейсов и чтение информации из файла;
поддерживаемые интерфейсы захвата: Ethernet, IEEE 802.11, PPP и SVI;
доступна фильтрация пакетов по множеству параметров;
захваченные пакеты подсвечиваются разными цветами в зависимости от типа протокола, например, TCP, HTTP, FTP, DNS, ICMP;
поддержка захвата трафика VoIP-звонков;
поддерживается расшифровка HTTPS-трафика при наличии сертификата;
расшифровка WEP-, WPA-трафика беспроводных сетей при наличии ключа и handshake;
отображение статистики нагрузки на сеть;
просмотр содержимого пакетов для всех сетевых уровней;
отображение времени отправки и получения пакетов.
Интерфейс программы показывает следующие части (Рисунок 3):
меню команд;
область фильтра отображения пакетов;
окно со списком пакетов;
окно со сведениями о заголовке пакета;
окно с содержимым пакетов.
Рисунок 3 — Интерфейс программы Wireshark
Меню команд:
пункт «File» (файл) позволяет импортировать захваченные файлы, экспортировать их, сохранить захваченное и выйти из Wireshark;
пункт «Edit» (правка) помогает искать конкретный пакет между множеством захваченных пакетов;
пункт «Capture» (захват) позволяет запускать или останавливать захваченное и уточнять параметры захвата, представляет список предварительно сконфигурированных фильтров исследований;
в разделе «Analyze» (анализ) отображаются параметры других фильтров.