Письма читателей (о снифферах)
Добрый день,
Есть вопрос по поводу Вашей статьи в СР N№10
"Всё что ...".
Статья отличная. И это даже хорошо, что так "кратенько" у вас получилось.
Главное — доходчиво и приятно почитать. Спасибо.
Теперь собственно вопрос:
У меня есть Sniffer Pro 3.0.05 от Network Associates. Скачав предложенный Вами (спасибо, что поделились) NetXRay с трудом смог отличить этих братьев близнецов. Не нашел разве что Decode в генераторе пакетов (важная для меня feature ибо я всего лишь начинающий). В статье указано, что NetXRay сейчас зовётся Sniffer'ом, и что возможности у них практически идентичны. Но Вы говорили про Sniffer Basic, а тут Pro как-никак. "Обрезки" NetXRay'я легко находятся в каталоге Sniffer'а — XRayAlrm.exe. Помогите разобраться с этим добром — на чём всё-таки остановиться ? Может есть какая-нибудь незаметная, но важная мелочь ? Или Pro это как обычно — рекламный трюк (как NT 5.0 ->Professional)?
Буду признателен Вам за совет.
С уважением, Александр.Хороший вопрос, Александр, грамотный...;) Даже не знаю с чего начать... Начнем, пожалуй "с хвоста" и по существу.
Итак, Pro — это не рекламный трюк. Другое дело, что слово Pro тут следует рассматривать не сколько в качестве намека на "продукт для профи", сколько в смысле того, что продукт больше чем NetXRay всяких вещей может делать сам. Типа — сниффер-профессионал :) Он является частью линейки продуктов Sniffer Portable Analysis Suite, о котором нам известна следующая официальная информация:
"Портативные анализаторы трафика предназначены для исследования одного сегмента сети или канала передачи данных. Анализатор локальной сети Sniffer Basic является чисто программным. Sniffer Pro LAN для локальных сетей, Sniffer Pro WAN для глобальных сетей и Sniffer Pro High Speed для ATM и Gigabit Ethernet предусматривают использование специального оборудования. Программное обеспечение для Sniffer Pro LAN, Sniffer Pro WAN и Sniffer Pro High Speed аналогично, решения отличаются только в аппаратной реализации."
Далее рассмотрим официальные объяснялки о каждом продукте линейки:
Sniffer Basic
"Sniffer Basic представляет собой сравнительно простой программный анализатор трафика для локальной сети, без экспертных возможностей. Продукт имеет в своем составе декодер более 250 различных протоколов. Sniffer Basic рассчитан на использование в сетях Ethernet 10/100 или Token Ring 4/16 и устанавливается на компьютер, работающий под управлением MS Windows 95/98/NT. По сути, Sniffer Basic является дальнейшим развитием хорошо известного продукта NetXRay, выпущенного ранее Network General (компания Network Associates, Inc. образовалась в результате слияния компаний McAfee Associates и Network General)."
Sniffer Pro LAN
"Sniffer Pro LAN является основным инструментом мониторинга больших локальных сетей. Декодер более 450 различных протоколов, экспертный анализ, поддержка VLAN — это неполный перечень возможностей данного продукта. Никакого дополнительного оборудования, как правило, не требуется.
Экспертный анализатор способен обнаруживать более 250 различных симптомов неисправностей, выдавая "диагноз" в виде читаемого текста. Sniffer Pro LAN может быть установлен как на обычный настольный ПК или портативный компьютер, снабженный сертифицированной Network Associates, Inc. сетевой платой, так и на профессиональную платформу Dolch — промышленный компьютер в специальном корпусе, с расширенным диапазоном рабочих температур и повышенной ударо-, пыле- и влагозащищенностью."
Sniffer Pro WAN
"Sniffer Pro WAN является портативным анализатором протоколов глобальных сетей и требует специального оборудования, поставляемого Network Associates, Inc. Sniffer Pro WAN способен анализировать не только инкапсулированный трафик LAN, но и низкоуровневую информацию (например, LMI, сигнализацию и т.д.)"
делаем выводы
Итак, ключевое слово в различиях между Basic и Pro — экспертный анализатор. В случае с Sniffer Basic этим экспертом (или анализатором) являетесь вы сами: получили дамп, сниффер помог вам его декодировать, дальше разбирайтесь сами — где обрыв, где проблемы с маршрутизацией, где софт криво работает, где сегмент сетевой перегружен, ну и так далее. Сниффер Профессиональный делает это за вас, причем диагнозы и предупреждения выдаются на простом и понятном англицком языке.
Работая со Sniffer Pro вы наверняка должны были заметить, что после запуска захвата пакетов у вас сразу открывается окно Expert, которое после останова захвата перерисовывается в нечто, поименованное SnifX, где Х — номер сессии. В этом "сниффе" результирующее окно декодера пакетов — только одна из множества закладок. Обратим однако внимание на закладку Expert. В левом фрейме пиктограммами изображено некоторое подобие уровней модели OSI, и по каждому уровню предлагается посмотреть диагнозы, симптомы и объекты сетевого взаимодействия.
При этом закладка в правом фрейме должна быть установлена на Summary. Как видно из прилагаемого скриншота, после захвата двух серий по 100 фреймов диагнозов моей системе не поставили, однако было обращено внимание на следующие симптомы:
• медленный ответ веб-сервера на запрос GET. На самом деле ничего страшного — просто плохая связь, но, как говорится, "наше дело — предупредить".
• адрес отправителя ICMP-сообщения — broadcast (255.255.255.255). Это мой ко-администратор, прознав, что я скриншот для газеты снимаю, баловался ;)
• пара предупреждений о, истечении времени жизни пакета (TTL time exceeded). дурилка картонная, це ж traceroute! ;))
• пара предупреждений о ретрансмиссии. Вот это уже хуже, но что поделаешь — нетворки наши перегружены... :(
Далее можно вдоволь "подрейфовать" по объектам, сессиям, другим предупреждениям и составить полную картину того, что за время захвата пакетов происходило в сети. Интерфейс, прямо скажем, немного запутанный, но — с другой стороны — очень богатый. Каждый может выбрать для себя ту манеру исследования и порядок просмотра, что ему более по душе.
Все остальное действительно весьма похоже на NetXRay. Ах да, в раздел Tools добавили кучку стандартных диагностических утилит: Ping, Traceroute, DNS Lookup, Finger, Whois. Написаны они явно на скорую руку, конфигурабельностью и вообще чем бы то ни было не блещут, и не понятно, на кой они вообще там нужны... В это же меню можно "засадить" и другие внешние утилиты, быстрый вызов которых вам может понадобиться прямо в процессе анализа трафика.
Совершенно верно вы заметили насчет отсутсвия декодера в генераторе пакетов — очень огорчительная деталь, причем не только для начинающего, но и для профессионала. Трудно сказать, почему они так сделали, на ум приходит по крайней мере два варианта:
• защита от дурака или малоквалифицированного злоумышленника. Как Microfost ограничил работу с RAW-сокетами якобы для предотвращения посылки заведомо кривых пакетов, предоставляющих угрозу сетевой общественности, NAI также могли принять нелиберальное решение, направленное на отлучение от привелегии создавать "вредные" пакеты некваливицированного пользователя. Мол, если человек может создать/модифицировать пакет в виде сырого шестнадцатеричного дампа — молодец, заслужил право пользоваться генератором :) Типа того...
• обыкновенная недоработка: все силы мысли ушли на экспертный анализ и прочие навороты. Генератор пакетов мог восприниматься просто как второстепенная задача, до которой руки, увы, пока не доходят :)
Поэтому, не знаю как вы, а я, поскольку активно пользуюсь генератором пакетов, пока не собираюсь переориентироваться на Sniffer Pro — NetXRay 3.0.1 вполне способен решать все мои повседневные задачи.
послесловие
Пока я готовила этот, пусть и совсем немудреный, ответ на письмо читателя, я столкнулась с проблемой путаницы версий и vendor'ов в рамках этой линейки снифферных продуктов. Меня мучали, а отчасти и продолжают мучать следующие вопросы, на которые мне удалось получить более-менее вразумительные ответы от представителя Network Associates в России — компании Associates.
В: Почему внутри Sniffer Basic, предлагаемого для пробного скачивания, находится "неперименованный" NetXRay?
О: Это одно и тоже. Только NetXRay теперь идет под другой маркой и для большего кол-ва платформ.
В: почему практически у всех представителей и на сайте самого NAI предлагаются к скачиванию старые демо-версии продуктов NetXRay 3.0 (образца 1997 года) и Sniffer Pro 2.5?
О: К сожалению, не могу ответить. Это нужно спрашивать у Sniffer Techologies :-)
В: Если это не является "корпоративной тайной" — какова история слияния Network General и NAI? В частности, интересует следующий момент: на вашем сайте написано, что (цитирую) — "компания Network Associates, Inc. образовалась в результате слияния компаний McAfee Associates и Network General." На сайте NAI указано, что компания образовалась в 1989 году. Однако с 1995 по 1997 NetXRay выпускался под маркой Network General...
О: Компания Network Associates, Inc. образовалась в 1997 году в результате слияния McAfee Associates и Network General. В 1989 году образовалась McAfee Associates.
В общем, понятно, что ничего не понятно :)) Выводы делаем сами :)
Alice D. Saemon
Есть вопрос по поводу Вашей статьи в СР N№10
"Всё что ...".
Статья отличная. И это даже хорошо, что так "кратенько" у вас получилось.
Главное — доходчиво и приятно почитать. Спасибо.
Теперь собственно вопрос:
У меня есть Sniffer Pro 3.0.05 от Network Associates. Скачав предложенный Вами (спасибо, что поделились) NetXRay с трудом смог отличить этих братьев близнецов. Не нашел разве что Decode в генераторе пакетов (важная для меня feature ибо я всего лишь начинающий). В статье указано, что NetXRay сейчас зовётся Sniffer'ом, и что возможности у них практически идентичны. Но Вы говорили про Sniffer Basic, а тут Pro как-никак. "Обрезки" NetXRay'я легко находятся в каталоге Sniffer'а — XRayAlrm.exe. Помогите разобраться с этим добром — на чём всё-таки остановиться ? Может есть какая-нибудь незаметная, но важная мелочь ? Или Pro это как обычно — рекламный трюк (как NT 5.0 ->Professional)?
Буду признателен Вам за совет.
С уважением, Александр.Хороший вопрос, Александр, грамотный...;) Даже не знаю с чего начать... Начнем, пожалуй "с хвоста" и по существу.
Итак, Pro — это не рекламный трюк. Другое дело, что слово Pro тут следует рассматривать не сколько в качестве намека на "продукт для профи", сколько в смысле того, что продукт больше чем NetXRay всяких вещей может делать сам. Типа — сниффер-профессионал :) Он является частью линейки продуктов Sniffer Portable Analysis Suite, о котором нам известна следующая официальная информация:
"Портативные анализаторы трафика предназначены для исследования одного сегмента сети или канала передачи данных. Анализатор локальной сети Sniffer Basic является чисто программным. Sniffer Pro LAN для локальных сетей, Sniffer Pro WAN для глобальных сетей и Sniffer Pro High Speed для ATM и Gigabit Ethernet предусматривают использование специального оборудования. Программное обеспечение для Sniffer Pro LAN, Sniffer Pro WAN и Sniffer Pro High Speed аналогично, решения отличаются только в аппаратной реализации."
Далее рассмотрим официальные объяснялки о каждом продукте линейки:
Sniffer Basic
"Sniffer Basic представляет собой сравнительно простой программный анализатор трафика для локальной сети, без экспертных возможностей. Продукт имеет в своем составе декодер более 250 различных протоколов. Sniffer Basic рассчитан на использование в сетях Ethernet 10/100 или Token Ring 4/16 и устанавливается на компьютер, работающий под управлением MS Windows 95/98/NT. По сути, Sniffer Basic является дальнейшим развитием хорошо известного продукта NetXRay, выпущенного ранее Network General (компания Network Associates, Inc. образовалась в результате слияния компаний McAfee Associates и Network General)."
Sniffer Pro LAN
"Sniffer Pro LAN является основным инструментом мониторинга больших локальных сетей. Декодер более 450 различных протоколов, экспертный анализ, поддержка VLAN — это неполный перечень возможностей данного продукта. Никакого дополнительного оборудования, как правило, не требуется.
Экспертный анализатор способен обнаруживать более 250 различных симптомов неисправностей, выдавая "диагноз" в виде читаемого текста. Sniffer Pro LAN может быть установлен как на обычный настольный ПК или портативный компьютер, снабженный сертифицированной Network Associates, Inc. сетевой платой, так и на профессиональную платформу Dolch — промышленный компьютер в специальном корпусе, с расширенным диапазоном рабочих температур и повышенной ударо-, пыле- и влагозащищенностью."
Sniffer Pro WAN
"Sniffer Pro WAN является портативным анализатором протоколов глобальных сетей и требует специального оборудования, поставляемого Network Associates, Inc. Sniffer Pro WAN способен анализировать не только инкапсулированный трафик LAN, но и низкоуровневую информацию (например, LMI, сигнализацию и т.д.)"
делаем выводы
Итак, ключевое слово в различиях между Basic и Pro — экспертный анализатор. В случае с Sniffer Basic этим экспертом (или анализатором) являетесь вы сами: получили дамп, сниффер помог вам его декодировать, дальше разбирайтесь сами — где обрыв, где проблемы с маршрутизацией, где софт криво работает, где сегмент сетевой перегружен, ну и так далее. Сниффер Профессиональный делает это за вас, причем диагнозы и предупреждения выдаются на простом и понятном англицком языке.
Работая со Sniffer Pro вы наверняка должны были заметить, что после запуска захвата пакетов у вас сразу открывается окно Expert, которое после останова захвата перерисовывается в нечто, поименованное SnifX, где Х — номер сессии. В этом "сниффе" результирующее окно декодера пакетов — только одна из множества закладок. Обратим однако внимание на закладку Expert. В левом фрейме пиктограммами изображено некоторое подобие уровней модели OSI, и по каждому уровню предлагается посмотреть диагнозы, симптомы и объекты сетевого взаимодействия.
При этом закладка в правом фрейме должна быть установлена на Summary. Как видно из прилагаемого скриншота, после захвата двух серий по 100 фреймов диагнозов моей системе не поставили, однако было обращено внимание на следующие симптомы:
• медленный ответ веб-сервера на запрос GET. На самом деле ничего страшного — просто плохая связь, но, как говорится, "наше дело — предупредить".
• адрес отправителя ICMP-сообщения — broadcast (255.255.255.255). Это мой ко-администратор, прознав, что я скриншот для газеты снимаю, баловался ;)
• пара предупреждений о, истечении времени жизни пакета (TTL time exceeded). дурилка картонная, це ж traceroute! ;))
• пара предупреждений о ретрансмиссии. Вот это уже хуже, но что поделаешь — нетворки наши перегружены... :(
Далее можно вдоволь "подрейфовать" по объектам, сессиям, другим предупреждениям и составить полную картину того, что за время захвата пакетов происходило в сети. Интерфейс, прямо скажем, немного запутанный, но — с другой стороны — очень богатый. Каждый может выбрать для себя ту манеру исследования и порядок просмотра, что ему более по душе.
Все остальное действительно весьма похоже на NetXRay. Ах да, в раздел Tools добавили кучку стандартных диагностических утилит: Ping, Traceroute, DNS Lookup, Finger, Whois. Написаны они явно на скорую руку, конфигурабельностью и вообще чем бы то ни было не блещут, и не понятно, на кой они вообще там нужны... В это же меню можно "засадить" и другие внешние утилиты, быстрый вызов которых вам может понадобиться прямо в процессе анализа трафика.
Совершенно верно вы заметили насчет отсутсвия декодера в генераторе пакетов — очень огорчительная деталь, причем не только для начинающего, но и для профессионала. Трудно сказать, почему они так сделали, на ум приходит по крайней мере два варианта:
• защита от дурака или малоквалифицированного злоумышленника. Как Microfost ограничил работу с RAW-сокетами якобы для предотвращения посылки заведомо кривых пакетов, предоставляющих угрозу сетевой общественности, NAI также могли принять нелиберальное решение, направленное на отлучение от привелегии создавать "вредные" пакеты некваливицированного пользователя. Мол, если человек может создать/модифицировать пакет в виде сырого шестнадцатеричного дампа — молодец, заслужил право пользоваться генератором :) Типа того...
• обыкновенная недоработка: все силы мысли ушли на экспертный анализ и прочие навороты. Генератор пакетов мог восприниматься просто как второстепенная задача, до которой руки, увы, пока не доходят :)
Поэтому, не знаю как вы, а я, поскольку активно пользуюсь генератором пакетов, пока не собираюсь переориентироваться на Sniffer Pro — NetXRay 3.0.1 вполне способен решать все мои повседневные задачи.
послесловие
Пока я готовила этот, пусть и совсем немудреный, ответ на письмо читателя, я столкнулась с проблемой путаницы версий и vendor'ов в рамках этой линейки снифферных продуктов. Меня мучали, а отчасти и продолжают мучать следующие вопросы, на которые мне удалось получить более-менее вразумительные ответы от представителя Network Associates в России — компании Associates.
В: Почему внутри Sniffer Basic, предлагаемого для пробного скачивания, находится "неперименованный" NetXRay?
О: Это одно и тоже. Только NetXRay теперь идет под другой маркой и для большего кол-ва платформ.
В: почему практически у всех представителей и на сайте самого NAI предлагаются к скачиванию старые демо-версии продуктов NetXRay 3.0 (образца 1997 года) и Sniffer Pro 2.5?
О: К сожалению, не могу ответить. Это нужно спрашивать у Sniffer Techologies :-)
В: Если это не является "корпоративной тайной" — какова история слияния Network General и NAI? В частности, интересует следующий момент: на вашем сайте написано, что (цитирую) — "компания Network Associates, Inc. образовалась в результате слияния компаний McAfee Associates и Network General." На сайте NAI указано, что компания образовалась в 1989 году. Однако с 1995 по 1997 NetXRay выпускался под маркой Network General...
О: Компания Network Associates, Inc. образовалась в 1997 году в результате слияния McAfee Associates и Network General. В 1989 году образовалась McAfee Associates.
В общем, понятно, что ничего не понятно :)) Выводы делаем сами :)
Alice D. Saemon
Сетевые решения. Статья была опубликована в номере 03 за 2001 год в рубрике software