 |
Подсистема ProtocolInterpreter
|
|
|
|
В функции этой подсистемы входит анализ захваченных пакетов и как можно более полная интерпретация каждого из полей заголовков пакетов и его содержимого. Компания NetworkGeneral создала самую мощную подсистему подобного типа - ProtocolInterpreter способен полностью декодировать более 200 протоколов всех семи уровней модели ISO/OSI (TCP/IP, IPX/SPX, NCP, DECnetSunNFS, X-Windows, семейство протоколов SNAIBM, AppleTalk, BanyanVINES, OSI, XNS, Х.25, различные протоколы межсетевого взаимодействия). При этом отображение информации возможно в одном из трех режимов - общем, детализированном и шестнадцатеричном.
Общий режим предусматривает отображение лишь наиболее важной информации о пакете - адреса отправителя и получателя, название высшего по иерархии ISO/OSI протокола, использованного в пакете, краткая характеристика содержимого пакета (например, чтение данных). В этом режиме каждый из пакетов занимает одну строку в окне интерпретатора протоколов.
Детализированный режим предусматривает отображение полной расшифровки всей иерархии протоколов, при этом каждый из уровней иерархии отображается своим цветом, дается расшифровка на близком к естественному английскому, каждого из полей пакетов всех уровней иерархии и подробно описываются данные пакета (рис. 3.2).
Рис. 3.2. ProtocolInterpreter
При работе в шестнадцатеричном режиме пакеты отображаются в шестнадцатеричном виде, а также в виде символов кодировок ASCII или EBCDIC.
Для разработчиков поставляется специальный инструментарий - PDK (ProtocolDevelopmentKit), позволяющий создавать модули поддержки новых протоколов для ProtocolInterpreter.
Подсистема ЕхреrtAnаlysis
Сердцем серверов SnifferServer является экспертная система анализа сети ExpertAnаlysis. В основе системы лежит уникальная база знаний, накопленная специалистами компании NetworkGeneral с 1986 года и основанная на опыте работы с пользователями различных сетей и разработках групп Станфордского и Массачусетского университетов, а также компании NipponTelephoneandTelegraph (NTT).
|
|
|
Основное назначение системы - сокращение времени простоя сети и ликвидация узких мест сети с помощью автоматической идентификации аномальных явлений и автоматической генерации методов их разрешения. Система экспертного анализа предоставляет диагностическую информацию трех категорий:
· Симптом - событие в сети, которому администратор сети должен уделить дополнительное внимание (например, физическая ошибка при обращении к узлу сети или единичная повторная передача файла). Не обязательно означает возникновение проблемы, однако при высоком уровне периодичности требует внимания администратора.
· Диагноз - неоднократное повторение симптома, подлежащее обязательному расследованию со стороны администратора сети. Обычно диагноз описывает ситуации, характеризующие серьезные неисправности в сети (например, дублируемый сетевой адрес).
· Объяснение - контекстно-зависимое экспертное заключение системы анализа для каждого симптома или диагноза. Объяснение содержит описание нескольких возможных причин сложившейся ситуации, обоснование подобного заключения и рекомендации по их устранению.
В системе имеются возможности дополнения существующей базы знаний специфическими данными, полученными администратором сети в процессе ее использования.
Система автоматического анализа ExpertAnalysis основана на уникальной многозадачной технологии анализа пакетов, которую в нескольких словах можно описать следующим образом:
· Циркулирующие в сети пакеты непрерывно захватываются и помещаются в кольцевой буфер захвата (первая задача).
· Одновременно с этим несколько задач-анализаторов протоколов (по одной на каждое из семейств протоколов) сканируют буфер захвата и генерируют информацию в едином внутреннем формате.
|
|
|
· Эта стандартизованная информация поступает на группу задач-экспертов. Каждый из экспертов является таковым лишь в своей узкой области, например, в знании протокола взаимодействия клиента с сервером NetWare. Если эксперт находит событие, связанное с его областью интересов, он генерирует некоторый соответствующий объект (например, "пользователь Guest сервера IBSO") в объектно-ориентированной базе данных о сети, называемой BlackboardKnowledgeBase, и связывает его с соответствующими объектами более низкого уровня (в нашем случае - с адресом IPX станции пользователя Guest, связанным с МАС-адресом платы этой станции, и с сервером IBSO, связанным с адресами IPX и IP, а также с MAC-адресами сетевых плат сервера, а также со всеми уже вошедшими на сервер пользователями, принт-серверами, и т.д.). В результате возникает некоторая сложная структура, отображающая все объекты сети, относящиеся к некоторому протоколу и все возможные связи между ними на всех 7 уровнях модели ISO/OSI.
· Существует вторая группа задач-экспертов, постоянно анализирующая состояние базы данных и выдающих сообщения о ненормальном функционировании сети (симптомы или диагнозы). В общей сложности система ExpertAnalysis знакома с более чем 200 различными проблемами функционирования сети.
Последний элемент этой системы - эксперты, генерирующие подробное описание проблемы и методы ее исправления. При этом эти эксперты сканируют базу данных и подставляют в выдаваемые рекомендации реальные объекты сети - МАС-адреса, названия серверов, имена задач и т.д.
Подобная многозадачная система анализа является уникальной на рынке анализаторов. Некоторые из продуктов компаний-конкурентов также предлагают системы с элементами искусственного интеллекта, однако принципы построения их совершенно иные. Исповедуемый компанией NetworkGeneral принцип построения анализатора на основе "круглого стола экспертов", реализованного на основе специализированного многозадачного ядра, позволяет проводить анализ с очень высокой производительностью. Задачи-эксперты одновременно ведут обработку информации по мере ее поступления, а используемые эвристические правила позволяют быстро локализовать круг экспертов по каждому из конкретных случаев и временно приостановить работу других экспертов.
|
|
|
Исповедуемый другими компаниями принцип, требующий последовательного применения всех эвристических правил, ведет к снижению производительности анализа на тех же мощностях процессора и к необходимости использования более мощного процессора для обеспечения соизмеримой производительности.
Система ExpertAnalysis обеспечивает то, что компания NetworkGeneral называет активным анализом. Для понимания этой концепции рассмотрим обработку одного и того же ошибочного события в сети системами традиционного пассивного анализа, и системой активного анализа.
Пусть в сети в 3:00 ночи произошел широковещательный шторм, вызвавший в 3:05 сбой системы создания архивных копий баз данных. К 4:00 шторм прекращается и параметры системы входят в норму. В случае работы в сети системы пассивного анализа трафика пришедшие на работу к 8:00 администраторы не имеют для анализа ничего, кроме информации о втором сбое и, в лучшем случае, общей статистики по трафику за ночь - размер любого буфера захвата не позволит хранить весь трафик, прошедший по сети за ночь. Вероятность ликвидации причины, приведшей к широковещательному шторму в такой ситуации крайне мала.
А теперь рассмотрим реакцию на те же события системы активного анализа. В 3:00, сразу после начала широковещательного шторма, система активного анализа фиксирует наступление нестандартной ситуации, активирует соответствующий эксперт и фиксирует выданную им информацию о событии и его причинах в базе данных. В 3:05 фиксируется новая нестандартная ситуация, связанная со сбоем системы архивирования, и фиксируется соответствующая информация. В результате в 8:00 администраторы получают полное описание возникших проблем, их причин и рекомендации по устранению этих причин.
Портативные анализаторы
Портативный вариант анализатора, почти аналогичный по своим возможностям DSS, реализован в продуктах серии ExpertSnifferAnalyzer (ESA), известный также как TurboSnifferAnalyzer. При значительно меньшей, чем продукты серии DSS, стоимости, ESA предоставляют администратору те же возможности, что и полномасштабная DSS, но только для того сегмента сети, к которой ESA подключен в данный момент. Существующие версии обеспечивают полный анализ, интерпретацию протоколов, а так же мониторинг подключенного сегмента сети или линии межсегментной связи. При этом поддерживаются все те же сетевые топологии, что и для систем DSS. Как правило, ESA используются для периодической проверки некритичных сегментов сети, на которых нецелесообразно постоянно использовать агент-анализатор.
|
|
|
Существует и еще более компактная версия анализатора - NotebookSnifferAnalyzer (NSA), реализованный на базе портативного компьютера класса notebook, специальной карты стандарта PCMCIA Туре II и программного обеспечения, аналогичного продуктам серии ESA с возможностью подсчета числа коллизий. Способен выполнять все функции по анализу сетей на базе Ethernet и TokenRing. Является хорошим решением для активно перемещающегося специалиста, использующего notebook в качестве портативного компьютера общего назначения.
Рис. 3.3. ExpertAnalysis
Относительно недавно вышла более "облегченная" версия NotebookSnifferAnalyzer - NotebookSnifferAnalyzerLite, обладающая всеми возможностями полноценного NotebookSnifferAnalyzer, но только в отношении сетевых сред на базе NovellNetware, включая версию 4.х.
Дополнительные продукты
Компания NetworkGeneral предлагает еще несколько продуктов, позволяющих решить те или иные задачи анализа сетей более эффективно.
Мощное средство, предназначенное для анализа систем с использованием баз данных типа клиент/сервер - SnifferNetworkAnalyzerDatabase МоdulеT (for Огасlе7T). Добавление этого продукта к стандартному интерпретатору протоколов позволяет анализировать пакеты протоколов SQL*Netv.2, выполняющих функции обмена между сервером баз данных Oracle7 и клиентом. Возможности продукта по глубине анализа аналогичны возможностям ProtocolInterpreter. Как видно из названия, данный продукт предназначен для работы в системах на базе Oracle7, причем пока поддерживается лишь нижний уровень SQL*Net - TransportNetworkSubstrate (TNS). Однако, даже существующая в настоящий момент версия позволяет измерять времена ответов на запросы, производить декодировку сетевых протоколов совместно с протоколом TNS, отображать файлы конфигурации Oracle7 и производить трассирование пакетов. Все эти возможности резко снижают времена локализации ошибок и узких мест в системах клиент-сервер. В ближайшее время ожидается выход версий для Sybase, MicrosoftSQLServer, InformixOnLine и IBMDB2, а также введение в систему экспертных возможностей в стиле ExpertAnaLyzer.
|
|
|
Администратору крупной сети также может быть полезен NGCSnifferReporter - специализированное средство составления отчетов на основе данных, собранных другими приложениями анализа данных. Данные, собранные в различных точках сети различными системами анализа (ESA, NSA, DSS, FoundationManager), с помощью SnifferReporter могут быть подвергнуты одновременному анализу, что позволяет выявить дополнительные закономерности функционирования сети. NGCSnifferReporter представляет собой программное обеспечение, функционирующее под MSWindows 3.1 или старше.
|
|
|
