Global Sources
電子工程專輯
 
電子工程專輯 > 處理器/DSP
 
 
處理器/DSP  

利用協議分析器監控、檢測並修復網路故障

上網時間: 2004年02月29日     打印版  Bookmark and Share  字型大小:  

關鍵字:Protocol analyzer  協議分析器  network  網路  network-management 

任何需要對關鍵任務進行作業的IT部門都要利用安全措施避免網路數據丟失、性能降低或其它故障。但即使已經做好最佳防護,這類故障仍不可避免,但為了獲取最優的網路安全和性能,本文介紹在故障影響網路性能之前主動監控、檢測並修復故障的策略。

網路協定分析器是一種監控並檢測安全及性能故障的基本方法。只要使用得當,分析器有助於IT工程人員在故障影響網路性能之前識別並修復故障。即便在日益複雜的網路管理系統和網路威脅檢測系統中,協議分析器仍是網路工程人員的必備工具。協議分析器可以顯示封包級網路傳輸流,而其它一些更廣泛使用的網路故障檢測工具則通常利用基於傳輸流的統計資訊或基於規則的警告進行自動分析。例如,簡單網路管理協議(SNMP)控制台需要利用由遠端代理運算的統計資訊,而入侵檢測系統(IDS)則只報告基於預定義規則的攻擊。

這樣,IDS、SNMP和其它類似的工具就能利用故障自動檢測和報告機制,幫助工程人員清除網路傳輸流中的故障。對於某類特定故障,這的確是行之有效的工具,因為工程人員可憑此推斷網路中實際產生的情況。這些工具可以通知網路工程人員目前網路存在故障,但無法提供充分的資訊以使工程人員了解實際產生的情況並採取適當的措施解決問題。此外,模式識別產品(如IDS)只能報告特徵已被識別的攻擊,正如透過觀察後視鏡進行駕駛一樣。

協議分析器的優勢

利用協議分析器,工程人員可監控並分析網路活動,因而主動檢測並定位故障。協議分析器的優勢在於可在封包級上精確地分析正網路上傳輸的數據,但用戶必須理解封包級上的網路作業。

從根本上說,協議分析所需的自動作業的複雜度和直觀度往往難以或不可能實現。例如,故障通常會周期性出現,而攻擊則通常會產生周期性傳輸流(例如,像蠕蟲病毒那樣試圖‘打電話回家’或掃描子網以感染工作站)。為了處理這類故障,工程人員必須分析重覆出現的事件並分析事件是否正常或者可能出現的故障。

為了理解協議分析器提供的封包級資訊,工程人員必須了解網路上正執行的應用程式、這些應用程式的常規行為模式、何時用戶期望執行這些應用程式、用戶和應用程式對性能降低的容忍度,等等。找到重覆出現的傳輸流並判斷其正常與否與其說是一門技術,不如說是一門藝術。不妨考慮一下這個問題:“工作站試圖每30秒鐘開啟TCP會話,但連接總被拒絕。這是攻擊問題、性能問題、無惡意的低效問題,還是一種正常行為?”目前,只有人才能有效地做出上述判斷。

從根本上說,協議分析器擷取並顯示封包數據,這些步驟之間具有最小的處理間隔。儘管這種低層‘未經處理’的方法頗具價值,但也為快速而精確的檢錯方法帶來巨大的挑戰。現有的交換網具有很多分段且分佈極為廣泛,因此很難擷取所需的封包數據並進行故障檢測。

早期的協議分析器只能擷取來自單個分段的傳輸流,而且協議分析器必須直接連接到該分段上。現有的交換網路包含許多分段(每個交換埠都是一個分段),而且每個分段上的工作站數目非常有限。在這類網路中,分析器在單個連接點上擷取的傳輸流非常少。分析器可利用如下三種方法解決單分段限制問題:支援多工並發擷取來自不同網路介面卡(NIC)的傳輸流、專用的遠端傳輸流擷取代理和擷取來自第三方遠端代理的傳輸流。

在支援多個NIC的網路中,分析器可同時連接到兩個或更多個分段(可連接分析器的數目只取決於工作站中的介面卡數目和分析器所支援的平行擷取數目)。在專用遠端傳輸流擷取代理中,分析器銷售商建構了只在特定分段上偵聽的遠端代理,然後將封包數據返還給分析器,有時這種處理是即時進行的。如果整個網路分佈了多個代理,那麼工程人員就能顯著地擴大視野。最後,一些分析器還支援擷取來自第三方的傳輸流,就像遠端監控代理那樣,因此能夠調節現有的管理架構。

協議分析所需解決的其它問題

協議分析所需解決的其它問題包括在現有高速網路單個分段上承載的巨量傳輸流。在100Mbps線路速率下,一般很難從不相關的傳輸流中手動檢測並分離不相關的傳輸流;而在千兆或萬兆位元數據率下,效率上完全不可能。協議分析器必須具有強韌的封包過濾功能,因而幫助IT工程人員處理這種數量級的容量。例如,一旦檢測到來自特定工作站的可疑傳輸流,工程人員可以使用基於地址的過濾器檢測來自該工作站的所有傳輸流並檢測該異常是否重覆出現。其它的典型過濾器標準則包括協議和TCP或UDP埠號。

協議分析器支援的過濾器種類繁多,而這也是需要重點考慮的一個因素,因為過濾功能或許是工程人員希望分析器應具有的最常用也最有效的功能。此外,過濾器應能便捷地製作並應用,因為那些要求用戶操縱複雜介面的過濾器通常將降低分析效率。理想情況下,分析器將有助於製作並應用過濾器,就像在特定封包包或協議上右鍵點選一下一樣。

最後,分析器介面還是有效檢測故障的主要途徑。設計良好的介面不僅能被初學者迅速掌握,而且還有助於資深用戶提高效率。介面需要考慮的因素包括:1. 同時預發送傳輸流匯總和封包解碼視圖以簡化兩種視圖間的相關性。2. 開闢多個擷取緩衝記憶體並提供充分的視窗管理功能,這樣用戶就能並排比較兩次擷取的結果。將‘已知正確’的情形與‘存在問題’的情形進行比較是應具備的基本技術。3. 能透過右鍵選單、按鈕、命令鍵或上述作業的組合,迅速地執行一些常用功能(如過濾和進入工作站名)。4. 快速過濾擷取的資訊,而無須因為構造真正的過濾器而耗費時間。5. 每個視窗的通用統計資訊全部就緒,並能採用與過濾封包數據相同的方式過濾這些統計資訊。6. 遠端代理的透明擷取-理想情況下,遠端擷取應完全類似於區域網介面卡上的擷取。

隨著網路速度越來越快以及網路結構越來越複雜,在協議分析器中整合某些專家系統功能也是大勢所趨。例如,專家系統可識別故障的網路會話並利用分析器確定故障原因。這種自動幫助裝置將促使協議分析器成為主流IT工具,而不僅僅是只有少數專家才能使用的工具。隨著IT部門廣泛採用分散式分析功能,具有專家系統的協議分析器還能廣泛監控網路活動、提供更快速的故障識別功能並減少網路故障時間。

本文小結

協議分析工具同整合的高級故障自動檢測系統(或專家系統)相結合,就能提供理想的網路故障檢測工具。專家系統有助於快速定位故障並檢測快速分散式網路上的入侵,而封包級設計則能迅速發現故障就立即排除。雖然自動故障排除正越來越重要(而且協議分析器中的專家系統也相應地更為複雜),但封包級分析仍然是重要的分析工具。

作者:Joshua Bardwell


高級技術講師和網路工程師


WildPackets公司


Email: joshuab@wildpackets.com





投票數:   加入我的最愛
我來評論 - 利用協議分析器監控、檢測並修復網路故...
評論:  
*  您還能輸入[0]個字
*驗證碼:
 
論壇熱門主題 熱門下載
 •   將邁入40歲的你...存款多少了  •  深入電容觸控技術就從這個問題開始
 •  我有一個數位電源的專利...  •  磷酸鋰鐵電池一問
 •   關於設備商公司的工程師(廠商)薪資前景  •  計算諧振轉換器的同步整流MOSFET功耗損失
 •   Touch sensor & MEMS controller  •  針對智慧電表PLC通訊應用的線路驅動器
 •   下週 深圳 llC 2012 關於PCB免費工具的研討會  •  邏輯閘的應用


EE人生人氣排行
 
返回頁首