роджений Microsoft Exchange Server, працюючим поверх протоколу віддаленого виклику процедур, Remote Procedure Call - RPC, і покаже текст поштового повідомлення. Більшість аналізаторів протоколів розпізнають понад 300 різних протоколів і вміють описувати і декодувати їх по іменах. Чим більше аналізатор в змозі декодувати інформації та представити її на екрані, тим менше доведеться декодувати вручну. p align="justify"> Заяви виробника про те, що його аналізатор протоколів підтримує більше 4000 декодерів протоколів, повинно викликати підозру; 300-400 декодерів - ось найбільш реалістичний діапазон. Більшість продуктів підтримує приблизно однакове число декодерів, незважаючи на рекламні заяви окремих постачальників. Наприклад, один продукт може розчленувати простий процес Ping на кілька протоколів (тобто Internet Control Message Protocol - ICMP, Echo Request, ICMP Echo Reply), тоді як інший буде декодувати той же процес Ping як один протокол, хоча обидва продукти оцінюють і декодують одну і ту ж інформацію.
Сьогодні всі добре усвідомлюють важливість проблем безпеки, і запуск відомих додатків на рідко використовуваних портах є загальноприйнятою практикою захисту від хакерів. Деякі декодери вміють розпізнавати трафік незалежно від того, через який порт він проходить, тоді як інші - ні, і тому просто будуть визначати протокол по його нижньому рівню (тобто TCP або UDP), а це означає, що декодер не подасть більш корисної інформації про поля. Деякі аналізатори дозволяють модифікувати декодер, щоб навчитися розпізнавати більше, ніж просто порт за замовчуванням для певних протоколів. br/>В
Малюнок 4. Приклад вікна аналізатора протоколів
Продавці аналізаторів протоколів часто вихваляються аналітичними та експертними модулями своїх продуктів - аналізатор вміє зчитувати пакет або серію пакетів і видавати звіти з корисною аналітичною інформацією про перехоплений трафіку. Експертний аналіз дійсно може повідомити про аномалії трафіку або несанкціонованих пакетах або ж повністю декодувати серії потоків даних між двома хостами. Декодувальна складова воістину безцінна, оскільки дозволяє побачити весь комунікаційний потік даних, і для цього досить просто клацнути мишею на зацікавив вас пакеті. Наприклад, можна клацнути HTTP-пакет і побачити Web-сторінку, яка йому відповідає, все одно неначебто користувач спостерігав код HTML в режимі візуалізації. Інша загальна функціональність включає фільтри до і після захоплення трафіку (можливість виділити певні пакети по заданому критерію), тригери (ініціювання вторинних дій при виявленні заздалегідь описаних пакетів), повторне відтворення (можливість повторно відпрацювати перехоплені пакети в мережі), збір статистики і складання звітів про трафіку, а також управління безліччю сенсорів з однієї консолі.
3. Огляд деяких мережевих аналізаторів
Ethereal 0.10.14
Пакетний сні...
