Изучение анализатора протоколов IRIS (Лабораторная работа № 2), страница 2

Последняя из перечисленных групп типов данных характеризуется ошибками передачи; в нормальной ситуации она игнорируется сетевой интерфейсной картой вне "беспорядочного" режима. Конфликтный фрагмент Ethernet (Ethernet collision fragments) – это испорченный трафик, появляющийся в сети, когда два пакета, передающихся практически одновременно, наталкиваются друг на друга, порождая случайный набор сигналов. Конфликты учащаются по мере увеличения объема трафика, и в этой связи важно обладать статистическими данными об этих инцидентах. Пакеты завышенного размера превышают значение максимальной единицы передачи (MTU) в применяемой сети и обычно служат признаком неких проблем с сетевой интерфейсной картой или ее драйверами. Маломерные пакеты, также известные под названием "коротышки", не отвечают требованиям по минимальному размеру пакетов и также указывают на потенциальные проблемы с аппаратной и программной частью. Пакеты, недопустимо завершающиеся, некорректно закрываются; причиной этому может быть как их усечение, так и, в очередной раз, проблемы с интерфейсной картой или драйверами.

Многие продаваемые напрямую сетевые карты и драйверы могут работать в "беспорядочном" режиме и рекомендуются производителями анализаторов.

Фильтры пакетов

На рисунке 1 показаны пакеты, проходящие через фильтр пакетов (packet filter). Этот фильтр определяет типы пакетов, захватываемые анализатором. К примеру, если вам любопытно, какого типа широковещание (broadcasts) имеет место в сети, можно настроить фильтр таким образом, чтобы захватывать только широковещательные пакеты. Когда фильтры применяются к входящим пакетам, они обычно именуются фильтрами захвата (capture filters) или предварительными фильтрами (pre-filters).

Кроме того, фильтры можно применять к наборам пакетов после их захвата. Это позволяет создавать подмножества интересующих пакетов, которые просматривать легче, чем целый набор. К примеру, если фильтр был настроен на захват широковещательных пакетов, и на самом деле было захвачено 1000 таких пакетов, для создания подмножества можно применить второй фильтр (фильтр отображения), основанный на конкретном исходном адресе. Это может уменьшить количество пакетов, которые необходимо просмотреть, до разумной величины. Фильтры могут основываться на множестве характеристик пакета, включая следующие, но не ограничиваясь ими:

§  исходный адрес передачи данных;

§  адрес назначения передачи данных;

§  исходный IP-адрес;

§  IP-адрес назначения;

§  приложение или процесс.

Буфер слежения

Пакеты прибывают в буфер слежения (trace buffer) анализатора – область хранения пакетов, скопированных из сети. Обычно это область в памяти, однако некоторые анализаторы позволяют сохранять пакеты прямо на диск. Пакеты в буфере слежения можно либо просматривать сразу после их захвата, либо сохранять для просмотра в последующем.

Во многих анализаторах размер буфера слежения по умолчанию имеет размер 4 Мбайт. В большинстве случаев такой размер достаточен для выполнения большинства задач анализа. Подумайте, сколько 64-байтовых пакетов могут уместиться в 4-мегабайтовом буфере слежения.

Расшифровщики

Расшифровщики (decodes) применяются к пакетам, захваченным в буфер слежения. Они позволяют просматривать пакеты в читаемом формате и интерпретируют поля и значения пакетов. Расшифровщики – это средства преобразования пакетов.

Например, расшифровщики могут разделять все поля IP-заголовка в пакете, определяя исходный IP-адрес и IP-адрес назначения, а также назначение пакета.

Аварийные сигналы

Во многих анализаторах существует набор настраиваемых аварийных сигналов (alarms), указывающих на появление необычных сетевых событий или ошибок. Ниже перечислены некоторые типичные аварийные сигналы, присутствующие в большинстве анализаторов:

§  избыточное широковещание;

§  превышение порога использования;

§  отказ в выполнении запроса;

§  сервер не функционирует.

Статистика

Многие анализаторы отображают статистику (statistics) сетевой производительности по таким параметрам, как текущее число пакетов в секунду или степень использования сети. Сетевые администраторы применяют эти данные для определения постепенных изменений в работе сети или внезапных пиков структуры сети.