一文弄懂什么是協(xié)議分析儀

一文弄懂什么是協(xié)議分析儀分析網(wǎng)絡(luò)中傳輸數(shù)據(jù)包的最佳方式很大程度上取決于你手頭擁有什么設(shè)備。在網(wǎng)絡(luò)技術(shù)發(fā)展的早期階段（使用HUB或集線器的共享網(wǎng)絡(luò)時(shí)代），謎底很簡(jiǎn)樸，只須將線路插在一臺(tái)集線器上，一切就搞定了——那就是使用協(xié)議分析儀。協(xié)議分析儀（protocolanalyzer），是一種監(jiān)視數(shù)據(jù)通信系統(tǒng)中的數(shù)據(jù)流，檢驗(yàn)數(shù)據(jù)交換是否正確地按照協(xié)議的規(guī)定進(jìn)行的專用測(cè)試工具。它也用于通信控制軟件的開(kāi)發(fā)、評(píng)價(jià)和分析。協(xié)議分析儀就是能夠捕捉網(wǎng)絡(luò)報(bào)文的設(shè)備。協(xié)議分析儀的合法用處在于撲捉分析網(wǎng)絡(luò)的流量，以便找出所關(guān)心的網(wǎng)絡(luò)中潛伏的題目。例如，假設(shè)網(wǎng)絡(luò)的某一段運(yùn)行得不是很好，報(bào)文的發(fā)送比較慢，而我們又不知道題目出在什么地方，此時(shí)就可以用協(xié)議分析儀來(lái)作出精確的題目判定。協(xié)議分析儀在功能和設(shè)計(jì)方面有良多不同。有些只能分析一種協(xié)議，而另一些能夠分析幾百種協(xié)議。一般情況下，大多數(shù)的嗅探器至少能夠分析以太網(wǎng)協(xié)議、TCP/IP協(xié)議、IPX協(xié)議等等。組成協(xié)議分析儀的標(biāo)準(zhǔn)框，由輸入接口單元、切換器、串-并變換器、捕獲存儲(chǔ)器、觸發(fā)器、收發(fā)信分析器、顯示器、模擬器、大容量存儲(chǔ)器和主控制器等部分組成。協(xié)議分析儀通常是軟硬件的結(jié)合，通常使用專用硬件或設(shè)置為專用方式的網(wǎng)卡實(shí)施對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)撲捉。捕捉在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)信息方法稱為sniffing（嗅探）。以太網(wǎng)協(xié)議是在統(tǒng)一回路向所有主機(jī)發(fā)送數(shù)據(jù)包信息。數(shù)據(jù)包頭包含有目標(biāo)主機(jī)的準(zhǔn)確地址。一般情況下只有具有該地址的主機(jī)會(huì)接受這個(gè)數(shù)據(jù)包。假如一臺(tái)主性能夠接收所有數(shù)據(jù)包，而不理會(huì)數(shù)據(jù)包頭內(nèi)容，這種方式通常稱為“混雜”模式（P模式）。這是協(xié)議分析儀撲捉數(shù)據(jù)的基礎(chǔ)，它的產(chǎn)生是由共享網(wǎng)絡(luò)的方式而來(lái)的。對(duì)于今天的以太網(wǎng)交換機(jī)，謎底開(kāi)始變成“視情況而定”。根據(jù)設(shè)計(jì)，大多數(shù)交換機(jī)不答應(yīng)用戶查看從服務(wù)器到工作站的流量狀況（用戶正在使用的那臺(tái)工作站除外）。事實(shí)上，這種情況通過(guò)端口映射技術(shù)可能解決。詳細(xì)來(lái)講，就是將傳送到交換機(jī)上某個(gè)端口的傳輸流復(fù)制到另一個(gè)端口。但需要留意的是，目前的交換機(jī)又分為可治理的交換機(jī)和不可治理的交換機(jī)，不可治理的交換機(jī)價(jià)格比可治理的交換機(jī)要便宜，但通常缺少進(jìn)行端口映射的能力。有些交換機(jī)固然自稱是可治理的，但實(shí)際上可能不外是支持SNMP，也許仍不具有端口映射功能。在用戶為網(wǎng)絡(luò)購(gòu)買(mǎi)新交換機(jī)時(shí)，這是一個(gè)需要搞清晰的重要題目。假如用戶的交換機(jī)不支持端口映射，也有方法來(lái)解決。這些方法對(duì)于在交換環(huán)境下的協(xié)議分析工作來(lái)說(shuō)更加常用：廉價(jià)和利便的方法：可以在被測(cè)試的工作站與網(wǎng)絡(luò)之間安裝一臺(tái)集線器。將協(xié)議分析儀連接到這臺(tái)集線器上，觀察兩個(gè)方向的傳輸流。昂貴和專業(yè)的方法：使用專業(yè)的以太網(wǎng)測(cè)試接口盒（TAP）聯(lián)機(jī)安裝在被測(cè)網(wǎng)絡(luò)上，無(wú)需在使用的分析儀內(nèi)執(zhí)行額外的過(guò)濾就可查看一個(gè)方向的會(huì)話情況。這意味著用戶不能同時(shí)看到全部的會(huì)話，因此也許需要進(jìn)行一些額外的數(shù)據(jù)包捕捉，來(lái)把握全部情況。協(xié)議分析儀原本是網(wǎng)絡(luò)工程師的常用工具，不外被人利用來(lái)做其他的目的也長(zhǎng)短經(jīng)常見(jiàn)的?，F(xiàn)今的黑客們都純熟地使用著功能強(qiáng)盛的協(xié)議分析儀，這本來(lái)就是一個(gè)工具的兩面性。對(duì)于能使用協(xié)議分析儀的職員來(lái)說(shuō)，本身他的權(quán)利就是很大的，假如他用這東西來(lái)干些什么，很難阻止的。這個(gè)工具用在安全角度，即有用又有害。就象刀子一樣，看它拿在誰(shuí)的手中了。協(xié)議分析儀protocolanalyser的工作從原理上要分為兩個(gè)部門(mén)：數(shù)據(jù)采集數(shù)據(jù)撲捉、協(xié)議分析。對(duì)這兩部門(mén)的工作從實(shí)現(xiàn)的形式上來(lái)說(shuō)有以下常見(jiàn)的幾種形式：純軟件的協(xié)議分析系統(tǒng)，如：Fluke的OptiView-PE。大多數(shù)的純軟件協(xié)議分析儀是可以使用普通的網(wǎng)卡來(lái)完成進(jìn)行簡(jiǎn)樸的數(shù)據(jù)采集工作的，這就是使用率最多的協(xié)議分析軟件＋PC網(wǎng)卡。這種方式的協(xié)議分析儀通常有兩種原因存在的。1、簡(jiǎn)樸廉價(jià)的軟件，或自由軟件，小巧實(shí)用，功能較弱2、運(yùn)行在PC或報(bào)價(jià)本電腦上的協(xié)議分析儀的軟件部門(mén)，本來(lái)協(xié)議分析工作就是基于軟件分析的工作。所以再高真?zhèn)€協(xié)議分析儀其軟件部門(mén)也是要由計(jì)算機(jī)平臺(tái)實(shí)現(xiàn)的。協(xié)議分析儀從協(xié)議分析儀發(fā)展的角度來(lái)說(shuō)，網(wǎng)絡(luò)維護(hù)職員越來(lái)越需要使用功能強(qiáng)盛并能將多種網(wǎng)絡(luò)測(cè)試手段集于一身的綜合式測(cè)試分析手段，典型的協(xié)議分析儀上的功能延展就是加入網(wǎng)管功能、自動(dòng)網(wǎng)絡(luò)信息搜集功能、智能的專家故障診斷功能，并且移念頭能要有效。這種綜合的協(xié)議分析儀或者說(shuō)是綜合的網(wǎng)絡(luò)分析儀成為了當(dāng)今網(wǎng)絡(luò)維護(hù)和測(cè)試儀的主要發(fā)展趨勢(shì)，象Fluke的OptiViewINA自上市來(lái)在網(wǎng)絡(luò)現(xiàn)場(chǎng)分析、故障診斷、網(wǎng)絡(luò)維護(hù)方法得到了相稱廣泛的應(yīng)用和發(fā)展。分布式協(xié)議分析儀跟著網(wǎng)絡(luò)維護(hù)規(guī)模的加大，網(wǎng)絡(luò)技術(shù)的變化，網(wǎng)絡(luò)樞紐數(shù)據(jù)的采集也越來(lái)越難題。有時(shí)為了分析和采集數(shù)據(jù)，必需能在