МІНІСТЕРСТВО ОСВІТИ ТА НАУКИ УКРАЇНИ
НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ „ЛЬВІВСЬКА ПОЛІТЕХНІКА”
кафедра “Інформаційні системи та мережі”
ЗВІТ
до лабораторної роботи №3
Тема:
ДОСЛІДЖЕННЯ РОБОТИ АНАЛІЗАТОРА ПРОТОКОЛІВ
Виконав:
ст.гр. КН-31
Львів 2008
Мета роботи
Метою роботи є ознайомлення з роботою аналізатора протоколів, отримання практичних навичок аналізувати потоки даних в локальній мережі.
Теоретичний вступ.
Виконання процедур керування в комп’ютерній мережі відбувається на чотирьох рівнях.
Стеження (Control) – це контроль нижнього рівня, виконується постійно на першому–четвертому рівнях протоколу розподілено багатьма незалежними процедурами керування.
Менеджмент (Management) – це функції керування сеансового та прикладного рівнів. До них належать налагодження та розірвання сеансу, одержання оплати за сеанси, рестарти.
Обслуговування (Maintenance) передбачає підтримування мережі в робочому стані, ремонт, діагностування помилок з використанням спеціальних програм та технічних засобів діагностики.
Адміністрування (Administration) – це нагляд за функціюванням мережі, ії запуск та зупинка; забезпечення ефективності роботи.
Моніторинг та мережеметрія - це безперервний контроль інформаційних та комунікаційних процесів у системі, збирання оперативних (моніторинг) та статистичних (мережеметрія) даних про якість функціювання мережі, використання її ресурсів тощо. Результати моніторингу попередньо опрацьовують та зберігають у спеціальних файлах моніторингу. На підставі цих даних за запитом адміністратора в будь-який час можна сформувати звіти.
Завдання монiторингу (мережеметрiї) та дiагностики КМ тiсно пов’язанi. Їх виконують однаковими засобами одночасно. Детальний монiторинг системи потрібний для шукання причин несправностей чи незадовiльного функцiювання. Для зручностi монiторинг доцiльно вести на рiзних рiвнях протоколу. Зокрема,
· на фiзичному рiвнi дослiджуються параметри кабельної системи;
· на канальному та мережевому рiвнях аналiзують трафiк, декодують та перехоплюють кадри і пакети;
· на верхніх рiвнях протоколу вивчають взаємодiю станцiй з використанням конкретних протоколiв та властивих їм параметрiв;
· на рiвнi застосувань можливий аналiз взаємодiї застосувань (наприклад, клiєнта та сервера бази даних).
Адмiнiстратора iнформацiйної системи передусім цiкавлять параметри взаємодiї застосувань. Однак причини неефективної роботи можуть бути зумовлені i роботою протоколiв нижніх рiвнiв або проблемами обладнання.
Крiм протокольного рiвня аналiзу, системи монiторингу та керування вiдрiзняються сферою дiї (вiд окремого сегмента до великої глобальної мережi), рiвнем iнтелекту та сервiсу (вiд простого перехоплення та вiдображення кадрiв до складних експертних систем аналiзу поведiнки).
Аналiзатор протоколу - це програмно-апаратний блок, безпосередньо приєднаний до мережi. Вiн приймає весь iнформацiйний потiк сегмента, декодує та iнтерпретує його.
Головні операцiї, якi виконує аналiзатор, - це перехоплення, декодування, вiдображення даних, генерування тестових даних. Адмiнiстратор мережi використовує функцiї iнiцiалiзацiї, фiльтрування та вiдображення у рiзних форматах.
Фiльтрування дає змогу видiлити з загального потоку пакети, якi мають певні ознаки. Сучаснi аналiзатори мають до кiлькох тисяч можливих умов фiльтрування, за допомогою яких можна комбiнувати умови i навiть задавати їх вручну.
Iнiцiалiзацiя допомагає пов’язати режими перехоплення та вiдображення з конкретними подiями. Визначена подiя (наприклад, надходження кадру визначеного протоколу або певної довжини чи звертання до заданого сервера) запускає перехоплення потоку.
Генерування тестових даних використовують для створення у мережi тестового потоку визначеного типу пакетiв заданої iнтенсивностi.
Порядок робити з програмою аналізатора.
Для аналізу трафіку в локальній мережі ми будемо використовувати простий та безкоштовний аналізатор протоколів EtherSnoop фірми ArechiSoft. Він дає змогу побачити структуру та проаналізувати зміст трафіку локальної мережі.
Головний екран цієї програми виглядає так:
Лист вибору адаптеру (1) використовується для вибору адаптеру інформацію з якого буде прослуховувати аналізатор. Панель інструментів (2) використовується для швидкого запуску найбільш вживаних операцій – старту та зупинки прослуховування, роздруку результатів, читання чи запису результатів попереднього тесьування тощо.
У вікні 3 відображаються результати прослуховування каналу. Кожному рядку відповідає один знайдений пакет. Якщо вибрати певний рядок, то можна відобразити структуру пакета у вікні 4. Програма знаходить та відображає поля пакета. Якщо потрібно проочитати зміст частини пакету у двійковому вигляді – використовується вікно 5.
Запуск прослуховування виконується кнопкою , зупинка - .
Результати можна зберегти на диску та зчитати з диску - , .
Кнопка вибору фільтру дозволяє обмежити відображення у вікні 3 тільки обраним типом пакету (ARP, IP, ICMP, TCP)
Висновок: на даній лабораторній роботі я навчився і закріпив знання з роботою аналізатора протоколів, отримання практичних навичок аналізувати потоки даних в локальній мережі.