Сетевой анализатор OmniPeek Personal – THG.RU

Введение

Думаете, халявы не бывает? Если говорить о рынке сетевых анализаторов, то скорое всего, она бывает, пример тому – популярный и достаточно мощный анализатор на основе открытого исходного кода – Ethereal, который вошёл во второй этап своей жизни, сменил имя на Wireshark, но так и остался бесплатным.

Компания WildPackets не так давно пошла на весьма смелый шаг: выпустила анализатор OmniPeek Personal; представляющий собой бесплатную версию OmniPeek Analyzer, входящую в коммерческий пакет OmniAmalysis Platform.

Мы начнём сравнение Wireshark и OmniPeek с платформы. Wireshark является кросс-платформенным, весьма гибким анализатором и может работать на Apple Mac OS X, BeOS, FreeBSD, HP-UX, IBM AIX, NetBSD, OpenBSD, SCO UnixWare/OpenUnix, SGI Irix, Sun Solaris/Intel, Sun Solaris/Sparc, Tru64 UNIX (ранее Digital UNIX), Debian GNU/Linux, Gentoo Linux, IBM S/390 Linux, Mandrake Linux, PLD Linux, Red Hat Linux, Rock Linux, Slackware Linux, Suse Linux, а также Windows Me, 98, NT 4.0, 2000, XP и Server 2003.

В отличие от него, OmniPeek Personal сможет работать лишь с некоторыми версиями Windows: Windows XP Professional (SP2), Windows 2000 (SP4) или Windows Server 2003 (SP1). Другими словами, пользователи Windows XP Home не смогут им воспользоваться, кроме того, можно не пытаться запускать его на ПК без установленного Internet Explorer 6.0 (SP1) и Microsoft .NET Framework 2.

WildPackets предлагает OmniPeek Personal в весьма облегчённом виде: реализованы далеко не все возможности, а те функции, что есть, больше напоминают введение в полную платную версию. Например, поддержка гигабитных сетевых адаптеров и WAN доступна лишь после некоторой доплаты.

Для OmniPeek Personal нет никакой поддержки, кроме набора FAQ и скромного форума поддержки. Wireshark, напротив, имеет достаточно развитый и активный форум. Впрочем, WildPackets с радостью продаст платную поддержку OmniPeek Personal по цене от $299 за год и выше.

Интерфейс

Интерфейс OmniPeek Personal достаточно хорошо проработан, при этом без ущерба функциональности по отображению потока данных. Графики чертятся в режиме реального времени, так что возможен анализ потока взаимодействующей пары узлов, а также моментальное оповещение о сетевых событиях, например, о запросах SQL и атаках DoS.

Добавление с бесплатным анализатором утилит Visual Expert и Packet Visualizer говорит о том, что WildPackets решила выпустить весьма серьёзную альтернативу Wireshark.

Visual Expert отвечает за графический вывод результатов OmniPeek Personal, с визуализацией пакетов и построением графиков.

Хотя OmniPeek Personal и не является продуктом с открытым исходным кодом, для него можно без труда найти API и SDK, что позволяет создавать собственные плагины для расширения функциональности. Количество доступных плагинов пока весьма ограничено, как по количеству, так и по сферам применения. Пожалуй, наиболее актуальный – SQLFilter, который индексирует файлы пакетов, а также перехватываемые пакеты в реальном времени.

Удалённый модуль TCPDump запускает tcpdump через соединение SSH на машине Unix/Linux и затем передаёт пакеты обратно на OmniPeek. Плагин Google Maps пытается показывать местоположения IP-адресов узлов источника и приёмника.

Изменение параметров “на лету”

Зачастую бесплатные анализаторы сетей требуют остановки работы для изменения параметров захвата. К счастью, в случае с OmniPeek Personal это не так. Анализатор позволяет создавать фильтры, используя команду make filter, и применять их “на лету”, без перезапуска. Такую возможность можно только приветствовать.

Создание фильтров ничуть не сложнее их активации и не требует приостановки анализатора.

Также чрезвычайно полезна функция выбора пакетов (select related), которая позволяет отображать только те пакеты, которые проходят по нужному адресу, протоколу или сеансу, и всё это делается по щелчку мыши. Во многих анализаторах та же самая операция выполняется в несколько шагов. Поэтому при поиске проблем с помощью OmniPeek Personal вы сэкономите массу времени.

Более всего в этом анализаторе впечатляет возможность поиска неисправностей в режиме реального времени: OmniPeek Personal заявляет как об экспертной диагностике, так и декодировании кадров во время захвата. Сетевой трафик группируется по сеансам/транзакциям, которые затем объединяются по приложениям. При этом OmniPeek Personal точно оценивает время отклика, что позволяет эффективно проводить анализ работы приложений.

Отображение по приложениям лучше воспринимается пользователем, кроме того, можно анализировать производительность приложений на основе открытого стандарта отчётов Apdex (Application Performance Index). Поддержка статистики в режиме реального времени впечатляет не меньше, особенно с учётом возможности оценки данных за какой-то промежуток времени. Всё это позволяет быстро определить наиболее активные протоколы, узлы, маршрутизаторы и т.д.

OmniPeek Personal не только обеспечивает экспертный анализ приложений в реальном времени, но и делает это очень легко и просто.

Экспертный анализ

Функция поиска проблем “Expert EventFinder” не только отображает описания ошибок и возможных причин их возникновения, но и предлагает способы их разрешения. Причём, её можно настроить для своих нужд и для своей сети. Вряд ли кому-то покажется бесполезным анализ по задержкам, пропускной способности и поиск неисправностей по перехватываемому трафику (на основе сеансов). Это далеко не все возможности экспертного режима, оснастка “Visual Expert” выполняет визуальное представление статистики пакетов, где можно выбирать из множества видов. Среди них есть просто изумительная возможность, которая позволяет моделировать изменения, которые произойдут в работе приложений при изменении параметров сети.

Графическое отображение потока и визуализация значительно упрощают поиск проблем.

Визуальное отображение “Expert Peer Map” в OmniPeek Personal показывает все узлы сети в виде вертикального эллипса. Такое отображение позволяет наглядно оценивать трафик между узлами: чем больше трафик, тем толще линия, и чем больше трафика проходит через узел, тем большей точкой он показан.

Пример графического интуитивно понятного отображения OmniPeek Personal.

Поддержка беспроводных сетей

Поддержка беспроводной сети достаточно хороша. Конечно, встречаются и ограничения. Дерево SSID отображает иерархические отношения между ESSID/BSSID и подключёнными станциями, а анализ уровня приложений средствами OmniPeek Personal позволяет расшифровывать пакеты с WEP или WPA, но для этого нужно указать ключ.

Хотя в анализаторе реализована поддержка расшифровки протокола TKIP, OmniPeek Personal не может работать с AES или WPA2. Нет функций просмотра служебного трафика, а также возможности сканирования частотных каналов. Для работы требуется установка специального драйвера NDIS для поддерживаемой сетевой карты, который нужен для перехвата пакетов. К слову, в комплект поставки входит драйвер для WLAN-адаптеров на чипсетах Atheros с поддержкой шифрования WPA/PSK, при этом он поддерживает функции контроля сигнала/шума и позволяет устанавливать временные отметки с точностью до микросекунды.

Как видно, графическое отображение иерархии беспроводных сетей 802.11 выполнено достаточно логично, но функциональность OmniPeek Personal существенно ограничивается при работе с беспроводными сетями.

Заключение

Лёгкость использования и возможность вывода полноценных сложных результатов не всегда возможно совместить. Но разработчикам OmniPeek Personal это удалось. В результате получилось удобное решение с возможностью графического отображения результатов и статистики.

OmniPeek Personal – удобная и бесплатная система анализа сетевого трафика. Она позволяет в наглядной форме проанализировать различные параметры сети. Кроме того, настройки фильтров можно менять “на лету”, что тоже весьма удобно. Единственное, чего не хватает анализатору, – поддержки ОС, отличных от Windows.