Upload
alexandr-pupena
View
178
Download
0
Embed Size (px)
Citation preview
Промислові мережі та інтеграційні технології
Основи Ethernet (для спеціаліста АСУТП)
реєстрація [email protected]
автор і лектор: Олександр Пупена ([email protected]) зворотній зв’язок по курсу: Інтернет-форум АСУ в Україні (www.asu.in.ua)
20.04.2015 NET - Ethernet Base
Ethernet це …
20.04.2015 NET - Ethernet Base
Ethernet – сімейство стандартизованих технологій пакетної передачі даних для комп'ютерних мереж (започаткований в 70-х, перший стандарт у 1980)
Олифер В.Г. Олифер Н.А. Компьютерные сети. Принципы технологии протоколы СПб.: - Питер, 2010, 916 с. 4 изд.
Що таке Ethernet?
Протоколи Ethernet визначають: - фізичний рівень: середовище передачі, топологія, бітові швидкості,
способи підключення, довжини кабелів, способи кодування бітів… - канальний рівень: порядок доступу до середовища, правила
формування та розмежування кадрів, доставка даних за призначенням, перевірка цілісності кадрів…
Технологія Ethernet стандартизована в IEEE 802.2/ 802.3, однак є певні відмінності з Ethernet II
Стандарти IEEE 802.x
20.04.2015 NET - Ethernet Base
Що таке стандарти IEEE 802.x?
Мережі Ethernet
20.04.2015 NET - Ethernet Base
Які є типи мереж Ethernet?
Стандарт Тип стан-
дарту Тип кабелю
Топо-
логія
Довжина
зв’язку/
променя
Інтерфейс конекторів,
коментар
10Base5
Eth
ernet
10
Мб
іт/с
IEE
E 8
02
.3 товстий коаксіальний Ш 500м
AUI, підключення до
трансивера на кабелі
через "зуб вампіра"
10Base2 тонкий коаксіальний Ш 185м BNC
10BaseT UTP категорія 3 та вище
(2 пари проводів) З 100м RJ-45
10BaseF оптоволокно З 1 - 10 км AUI
100BaseTX
Fas
t E
ther
net
10
0М
біт
/с I
EE
E
80
2.3
u
UTP кат. 5 та вище (2 пари
проводів) З 100 м RJ-45
100BaseT4 UTP кат. 3 та вище (4 пари
проводів) З 100м RJ-45
100BaseFX оптоволокно одномодове З 10 км ST, SC, MT-RJ…
100BaseSX оптоволокно.
багатомодлве З 300 м
сумісний з 10BaseF,
автоузгодженність
1000BaseCX
Gig
abit
Eth
ernet
80
2.3
z, 8
02
.3ab
STP (2 пари проводів) З 25 м RJ-45
1000BaseT UTP категорія 5 та вище (4
пари проводів) З 100 м RJ-45
1000BaseSX оптоволокно.
багатомодлве З 200-500 м ST, SC, MT-RJ…
1000BaseLX оптоволокно одномодове З 10 км ST, SC, MT-RJ…
…
10GBASE-… 10Gae
100GBASE-… 100Gba
40GBASE-… 40Gba
Відмінності в Ethernet'ах
20.04.2015 NET - Ethernet Base
Чим відрізняються мережі Ethernet?
Варіанти технологій (XBaseY):
- середовище передачі та способи підключення (Y):
- товстий коаксіальний кабель, підключення "зуб вампіра" (застарів)
- тонкий коаксіальний кабель , підключення BNC (застарів)
- екранована/неекранована вита пара (декілька пар), підключення RJ45
- оптоволокно
- радіосигнал (група 802.11)
- швидкістю(X):
- 10 Мбіт/с
- 100 Мбіт/с (FAST)
- 1 Гбіт/с (Gigabit)
- 10 Гбіт/с (10G)
- 40 Гбіт/с (40G)
- 100 Гбіт/с (100G)
- режимами роботи за напрямком:
- дуплекс
- напівдуплекс
Для підключення використовуються:
- кабель «вита пара» UTP (Unshielded twisted pair)
- на пристроях - RJ-45 розетка, на кабелі - RJ-45 вилка
- з'єднання «точка-точка», два пристрої можуть з'єднатися між собою безпосередньо: (рис.б)
- топологія "зірка" ("дерево"): пристрої зєднуються в мережі через концентратори (Hub) або комутатори (Switch): (рис. а) ;
Підключення Ethernet на базі витої пари
20.04.2015 NET - Ethernet Base
Як об'єднуються пристрої в мережі Ethernet на базі витої пари?
Switch/Hub
Switch/Hub Switch/Hub
Switch/Hub
Switch/Hub
10BaseT: фізичний рівень
20.04.2015 NET - Ethernet Base
Як працює Ethernet на фізичному рівні?
- 10 Мбіт/с - до 100 м без репітерів - не більше 4-х концентраторів (HUB) між
вузлами - UTP категорія 3 та вище (2 пари проводів) - дуплекс, напівдуплекс - манчестерський код - до 1024 вузлів в мережі - контроль цілісності каналу (LIT, при вільному
каналі відправка NLP)
Switch/Hub
Розгляд Ethernet почнемо з класичного 10BaseT на базі концентраторів.
NLP (Normal Link Pulses)
10BaseT: пряме з'єднання
20.04.2015 NET - Ethernet Base
Як з'єднувати прямим кабелем?
- Пристрої-вузли мережі з'єднуються через порт MDI (Medium Dependent Interface ),
- комутатори (switch) або концентратори (hub) через порт MDIX (Medium Dependent Interface with Crossover);
- Використовуються по два контакти: • для передачі: TX+ и TX- • для прийому: RX+ RX-
- У порті MDIX контакти трансмітера і ресивера поміняні місцями відносно MDI, тому MDI и MDIX з'єднуються між собою «прямим» кабелем.
прямой кабель
RX и TX поменяны местами
прямий кабель
10BaseT: перехресне з'єднання
20.04.2015 NET - Ethernet Base
Зєднання MDI з MDI або MDIX х MDIX проводиться перехресным кабелем.
перехресний кабель
TX+
TX-
RX
+
RX-
RX и TX на тих же контактах
Як з'єднувати перехресним кабелем?
Монтаж, перевірка
20.04.2015 NET - Ethernet Base
Чим з'єднувати, як перевірити ?
Ethernet 10BaseT на базі концентраторів (Hub)
20.04.2015 NET - Ethernet Base
Як працює Ethernet на базі концентраторів (HUB)?
- в центрі зірки використовується концентратор (Hub)
- концентратор (Hub) – це багатопортовий репітер - "логічна шина": напівдуплексний режим, в один
момент часу тільки один вузол може передавати - метод доступу CSMA/CD:
• постійне прослуховування лінії • якщо шина вільна – будь який вузол передає кадр • якщо кадри вузлів накладаються (колізія) – передача
закінчується, включається генератор випадкового часу очікування, після нього знову повторна проба
Hub
Ethernet: адресація вузлів
20.04.2015 NET - Ethernet Base
Як в мережі Ethernet кадр доходить до необхідного вузла?
- для адресації вузлів в мережі використовується 6-байтові МАС-адреси;
- адреса як правило записується в 16-ковому форматі: напр. EC-F4-BB-83-B0-4E або
EC:F4:BB:83:B0:4E
- кожний мережний адаптер повинен мати прошиту в неї унікальну МАС-адресу;
- доступна адресація окремого вузла (індивідуальна), усіх вузлів (широкомовна), декількох вузлів (групова)
- широкомовна: FF-FF-FF-FF-FF-FF
- мережні карти можуть працювати в режимі нерозбірливого захвату (promiscuous mode), тобто не відфільтровувати кадри по адресі МАС
Унікальна адресація Ethernet-адаптерів
20.04.2015 NET - Ethernet Base
Як назначається унікальна адреса MAC кожному адаптеру Ethernet?
- унікальність адреси МАС досягається комбінацією: "адреса" виробника карти + номер карти - перші 3 байти виділені виробнику обладнання,
видаються кординуючим комітетом IEEE (наприклад
00:80:F4 - Telemecanique, EC:F4:BB – Dell Inc.); можна визначити виробника в Інтернет
- наступні 3 байти – виробник виділяє на кожну свою карту
- унікальна (прошита) адреса називається також глобальною
- адміністратор може назначити адресу локально
http://standards.ieee.org/develop/regauth/oui/public.html
00 80 F4 xx xx xx
Manufacturer Device number
Утиліта getmac,
20.04.2015 NET - Ethernet Base
Як дізнатися глобальну унікальну адресу MAC адаптеру Ethernet свого ПК?
getmac/?
getmac/?
Утиліта ipconfig/all, netsh lan (Windows)
20.04.2015 NET - Ethernet Base
Як дізнатися глобальну унікальну адресу MAC адаптеру Ethernet свого ПК?
ipconfig/all
netsh lan
тільки при запущеній службі Wired Autoconfig
netsh lan show interfaces
Зміна адреси МАС
20.04.2015 NET - Ethernet Base
Як назначити локальну адресу MAC адаптеру Ethernet свого ПК?
- змінити адресу МАС у Windows можна через налаштування карти: - графічні вікна Windows - інші утиліти
Типи кадрів Ethernet
20.04.2015 NET - Ethernet Base
Які типи кадрів є в Ethernet?
кадр Ethernet II (DIX)
кадр IEEE802.3
- є декілька стандартів форматів кадру, найбільш популярні Ethernet II (DIX) та IEEE 802.3, відрізняються: - полем Type/Length; - в кадрі IEEE 802.3 в полі даних входить
заголовок пакету LLC
- кадри сумісні оскільки значення довжини <1518, а значення типу>1600
Проблеми Ethernet з концентраторами
20.04.2015 NET - Ethernet Base
Чому зараз практично не використовують концентратори в Ethernet?
- дерево з концентраторів та вузлів формують єдине розділювальне середовище передачі ("логічну шину") – єдиний домен колізій, тобто всі кадри вузлів будуть конкурувати
- працездатна при загальному завантаженні мережі <30% - для ефективної роботи мережі краще використовувати комутатори
Hub
Hub Hub
Hub
Структура Ethernet з комутаторами
20.04.2015 NET - Ethernet Base
Що принципово відрізняється в структурі мережі Ethernet з концентраторами та комутаторами?
Hub
Hub Hub
Hub
Switch
Switch Switch
Switch
- замість концентраторів (hub) ставляться комутатори (switch) – багатопортові мости
- комутатори розділяють домен колізій на декілька сегментів
- порти Ethernet станцій і комутаторів можуть працювати в дуплексному режимі
Призначення моста Ethernet
20.04.2015 NET - Ethernet Base
Навіщо потрібен міст?
- міст об'єднує два фізичних сегменти (міст це 2х-портовий комутатор), тобто два домени колізій
- на відміну від повторювача (репітера) міст відфільтровує кадри, які проходять між сегментами (алгоритм писаний в IEEE 802.1D)
- міст (bridge) відправляє кадри в інший сегмент тільки в тому випадку, якщо там знаходиться вузол призначення
- фільтрація проводиться по вмісту кадру, тобто міст працює на канальному рівні - "прозорий міст" – вузли в мережі "не знають" про існування моста, це просто ще
один трасивер на лінії зв'язку - має адресну таблицю (таблиця фільтрації) просування кадрів на свої порти - пасивно спостерігає за трафіком і заповнює адресну таблицю
Принцип роботи моста Ethernet
20.04.2015 NET - Ethernet Base
Як працює міст?
1. на початку адресна таблиця пуста 2. перший вхідний кадр буферизується і відправляється на всі порти (якщо
середовище не зайнято) окрім вхідного (для кадру) 3. МАС-адреса відправника (MAC Source) записується в адресну таблицю з
вказівкою порту звідки прийшов 4. МАС наступного вхідного кадру перевіряється в таблиці, якщо запис
знайдено, то: • якщо порт співпадає з вхідним, тобто вузли знаходяться в одному сегменті, - кадр
ігнорується (фільтрація кадру, filtering) • якщо різні сегменти, кадр буферизується і відправляється на порт призначення
(просування кадру, forwarding)
5. якщо запис не знайдено, виконуються алгоритми пп.2 та 3
Принцип роботи моста Ethernet (продовження)
20.04.2015 NET - Ethernet Base
• записи адресної таблиці можуть створюватися динамічно (в процесі навчання) або статично (адміністратором) • динамічні записи мають термін життя, якщо запис
не використовувався певний час – він видаляється, таким чином "перекочування" вузла в інший сегмент автоматично розпізнається
• статичні записи вносяться вручну і не мають терміну життя, додаткова можливість фільтрації
• широкомовні кадри (MAC=FF:FF:FF:FF:FF:FF) відправляються на всі порти (усі сегменти) окрім вхідного для кадру – затоплення (flooding)
Топологічні обмеження мостів
20.04.2015 NET - Ethernet Base
Не дозволяються петлі в конфігурації, приклад: 1. широкомовний кадр від нового вузла
попадає на обидва мости, в кожному свій запис в адресній таблиці (адреса 10, порт 1)
2. широкомовність кадру приведе його в порт 2 моста 1, оскільки кадр новіший – старий затреться і з'явиться запис адреса 10, порт 2; кадр відправиться на порт 1 моста 1
3. аналогічно п.2
Наслідки: • розмноження кадрів • нескінченна циркуляція кадрів в петлях • постійна перебудова адресних таблиць
Звичайні мости (і комутатори) не можна об'єднувати в петлеві конфігурації, тільки деревовидні.
Які обмеження в структурі?
Для побудови петлевих каналів з резервуванням використовуються спецільні комутатори (наприклад з функціями STP/RSTP).
Комутатори (switch)
20.04.2015 NET - Ethernet Base
• Ethernet мости (2-х портові) витіснені багатопортовими комутаторами
• комутатор (switch) – багатопортовий мультипроцесорний міст
• одночасне просунення кадрів між декількома портами
• процесор на кожний порт + загальний координуючий процесор (адресна таблиця, конфігурування, управління комутатором)
Що таке комутатор?
Комутація каналів vs комутація пакетів
20.04.2015 NET - Ethernet Base
• Комутація каналів • перед обміном між вузлами встановлюється
фізичне з'єднання (канал), коли в обміні немає необхідності - з'єднання розривається
• по сформованому каналу передаються дані • з'єднання використовується тільки двома вузлами • задача комутаторів каналів - формувати
з'єднання на сеанс
Що таке комутація?
• Комутація пакетів • дані діляться на порції – пакети, які
передаються незалежно і збираються у вузлі призначення
• задача комутаторів пакетів – перенаправляти пакети по вірному маршруту в залежності від заголовку пакету і маршрутних таблиць комутатору
Комутатори на базі комутаційної матриці
20.04.2015 NET - Ethernet Base
Приклад структури комутатора з комутаційною матрицею:
• кожен порт Ethernet обслуговується своїм процесором (EPP – Ethernet Packet Processor) має свій буфер і свою локальну адресну таблицю
• системний модуль координує роботу, вміщує загальну адресну таблицю комутатора
• в центрі комутаційна матриця (як при комутації каналів) • алгоритм:
• перші байти кадру попадають у вхідний буфер EPP, аналізується адреса призначення, якщо в локальній немає, питає в системного модуля
• якщо треба форварднути кадр, і порт призначення вільний (не з'єднаний з іншим портом) – матриця встановлює зв'язок і в буфер процесору EPP вихідного порта направляється кадр
• якщо порт призначення зайнятий – кадр приймається повністю і буферизується, до звільнення
• як тільки шина вихідного порта вільна, він відправляє кадр
Як працює комутатор?
Робота без повної буферизації кадру називається "на льоту" ("on the fly", "cut-through")
Комутатори в дуплексному режимі
20.04.2015 NET - Ethernet Base
Яка відмінність при використанні в комутаторах дуплексного режиму?
• якщо до комутатора підключаються вузли а не сегменти, необхідність в напівдуплексному режимі відпадає, так як комутатор може працювати з окремим вузлом і на передачу і на прийом одночасно
• тому колізії відсутні, а отже і не потрібен CSMA/CD
• однак затримки в передачі можуть виникати в самих комутаторах
Продуктивність комутаторів
20.04.2015 NET - Ethernet Base
Чи встигає комутатор переправляти усі вхідні кадри ?
• затримки в передачі можуть виникати в самих комутаторах • якщо сумарний вхідний трафік буде значно перевищувати вихідний –
порти будуть переповнюватися, кадри будуть втрачатися • неблокуючий комутатор – коли комутатор встигає передавати на
вихід кадри зі швидкістю їх приходу • неблокуючий режим досягається:
• висока продуктивність портів та процесорів • продуктивність ЦПУ та всіх складових • архітектура комутатора • вбудовані засоби боротьби з перевантаженням • підтримка режиму механізму зворотного зв'язку (IEEE 802.3x, Flow Control)
– відправка спец кадру "ПАУЗА"
• характеристики продуктивності: • швидкість фільтрації (filtering Rates) : практично у всіх комутаторах ця
процедура не блокує роботу комутатора • швидкість просунення (forwarding Rates) кадр/с: • затримка передачі кадру, мс: час від появи першого байту на вхідному
порту до появи на виході • продуктивність комутатору (throughput) Мібт/с, враховуються тільки поля
даних
http://www.cisco.com/c/en/us/products/collateral/switches/nexus-5020-switch/white_paper_c11-465436.html
Fast Ethernet (IEEE 802.3u): 100BaseTX
20.04.2015 NET - Ethernet Base
Що змінилося в Fast Ethernet, зокрема в 100BaseTX?
• поява - початок 90-х • збільшена швидкість до 100 Мбіт/с • повна сумісність з 10BaseT і ті самі кадри • дуплекс і напівдуплекс • ознака простою середовища – передача
спеціального символу простою • 100BaseT4 (практично не використ):
• кодування 8B/6T на NRZI; • UTP категорія 3 та вище (4 пари проводів)
• 100BaseTX: • кодування 4B/5B на NRZI; • STP (тип.1) або UTP кат.5 та вище (2 пари проводів)
• підрівень автопереговорів (Auto-Negotiation) для автоналаштування режиму роботи між пристроями
• відстань до комутатора/концентратора 100 м
Кон-такт
10BaseT 100BaseTX
100BaseT4
1000BaseT
1 Tx+ Tx_D1+ BI_D1+
2 Tx- Tx_D1- BI_D1- 3 Rx+ Rx_D2+ BI_D2+
4 не викор. BI_D3+ BI_D3+
5 не викор. BI_D3- BI_D3- 6 Rx- Rx_D2- BI_D2- 7 не викор. BI_D4+ BI_D4+
8 не викор. BI_D4- BI_D4-
Auto-Negotiation (Автопереговори)
20.04.2015 NET - Ethernet Base
Що таке автопереговори? • опційний • дозволяє двом з'єднаним пристроям домовитися про найбільш
вдалу швидкість та режим передачі (дуплекс/напівдуплекс) • режим вибирається по пріоритету з можливих (10BaseT
напівдуплекс – найменш пріоритетний) • при увімкненні пристрою він ініціює режим автопереговорів:
• відсилає спеціальний блок імпульсів (FLP, Fast Link Pulse, схоже на LIT-NLP), в якому пропонує найбільш пріоритетний підтримуваний ним режим
• якщо партнер підтримує такий режим він відповідає блоком FLP, якщо ні – пропонує свій
• якщо партнер не підтримує автопереговори, він буде слати сигнали NLP, по яким визначиться швидкість
• концентратори працюють з найменшою з підключених пристроїв швидкістю
• в деяких старих реалізаціях (зокрема в CISCO) є невідповідність а також є проблеми дуплекс/напідуплекс, тому треба налаштовувати вручну
• визначені також механізми діагностики помилок (додаткові коди PLM)
NLP (Normal Link Pulses)
FLP (Fast Link Pulses)
Gigabit Ethernet (IEEE 802.3ab): 1000BaseT
20.04.2015 NET - Ethernet Base
Що змінилося в Gigabit Ethernet, зокрема в 1000BaseT?
Кон-такт
10BaseT 100BaseTX
100BaseT4
1000BaseT
1 Tx+ Tx_D1+ BI_D1+
2 Tx- Tx_D1- BI_D1- 3 Rx+ Rx_D2+ BI_D2+
4 не викор. BI_D3+ BI_D3+
5 не викор. BI_D3- BI_D3- 6 Rx- Rx_D2- BI_D2- 7 не викор. BI_D4+ BI_D4+
8 не викор. BI_D4- BI_D4-
• поява - кінець 90-х • збільшена швидкість до 1 Гбіт/с • ті самі кадри що в попередніх версіях Ethernet • дуплекс і напівдуплекс • STP (тип.1) або UTP кат.5 та вище (4 пари проводів) • для роботи в напівдуплексі:
• збільшена мінімальна довжина кадрів з 64 до 512 байт, для цього після контрольної суми відсилається розширення з одних лог."0"
• режим пульсації: декілька кадрів підряд • діаметр мережі в напівдуплексі до 200 м
• кодування PAM5 (на 125 МГц) • передача та прийом в дуплексі одночасно по тій
самій парі, завдяки гібридній схемі розв'язки • адаптери можуть працювати також на 10BaseT,
100BaseT/TX • відстань до комутатора/концентратора 100 м • Automatic MDI/MDI-X Configuration (опційно )
Комутатори
20.04.2015 NET - Ethernet Base
Які є типи комутаторів Ethernet?
• стосовно налаштувань • некерований (unmanaged) – працює самостійно, не потребує
налаштувань, але виконує тільки стандартні функції • керований (managed) – має додаткові функції, які
налаштовуються спеціальними утилітами або протоколами
• стосовно конструкції вузла обміну: • з комунікаційною матрицею • з загальною шиною • з багатовходовою пам'яттю загального користування • комбіновані
• конструкція: • моноблочні (з фіксованою кількістю портів) • модульні
Утиліти Windows для роботи з мережними налаштуваннями (загальний перелік)
20.04.2015 NET - Ethernet Base
Wireshark - мережний аналізатор трафіку ping - перевіряє з’єднання на рівні протоколу IP з іншим пристроєм, який підтримує TCP/IP arp - виводить та змінює записи кешу ARP: таблиць відповідності IP-адрес і фізичних адрес Ethernet getmac – отримання апаратних адрес мережних адаптерів (MAC-адрес) як на локальному так і на віддаленому ПК. ipconfig – виводить всі плинні параметри карт та оновлює параметри DHCP та DNS tracert – виводить маршрут (IP-адреси вузлів) до місця призначення pathping – виводить статистику роботи маршрутизаторів на шляху маршруту до місця призначення netstat – виводить статистику по мережі та підключенням на транспортному рівні route – виводить маршрутні таблиці netsh – дає можливість відображати та змінювати настройки мережної карти net – робота з мережними службами Windows nslookup – діагностична утиліта для роботи з DNS
https://drive.google.com/file/d/0B2FfwwwweBSVMzU2d1FEZTlNcUk/view
Сніффери (Sniffer): принципи
20.04.2015 NET - Ethernet Base
Sniffer (від англ. to sniff – нюхати) – мережний аналізатор трафіку, програма або програмно-апаратний пристрій, призначений для перехвату та наступного аналізу, або тільки аналізу мережного трафіку, призначеного для інших вузлів.
Перехват трафіку може відбуватися: • звичайним "прослуховуванням" мережного інтерфейсу;
метод ефективний при використанні в сегменті концентраторів (hub) замість комутаторів (switch), в іншому випадку метод малоефективний, оскільки на сніфер попадають лише окремі кадри, які призначені приймаючому вузлу;
• підключенням сніферу в розрив каналу; • відгалуженням (програмним чи апаратним) трафіку і
направленням його копії на сніффер; • через аналіз побічних електромагнітних випромінювань та
відновленням таким чином трафіку, що прослуховується; • через атаку на канальному рівні (2-му) або мережному рівні
(3-му), яка приводить до перенаправлення трафіку жертви або всього трафіку сегменту на сніффер з наступним поверненням трафіку в потрібну адресу
Сніффери (Sniffer): функції
20.04.2015 NET - Ethernet Base
Аналіз трафіку, що проходить через сніфер, дозволяє: • відслідковувати мережну активність додатків; • відлагоджувати протоколи мережних додатків; • локалізувати несправність або помилку конфігурації; • знаходити паразитний, вірусний та закільцьований
трафік, наявність котрого збільшує навантаження мережного обладнання та каналів зв’язку;
• виявити в мережі шкідливе ПО, наприклад, мережні сканери, флудери, троянські програми, клієнти пірингових мереж та інші;
• перехватити любий незашифрований (а інколи і зашифрований) трафік користувача з ціллю дізнавання паролів та іншої інформації
• вивчати динаміку і взаємодії в мережах для розуміння функціонування
Сніффери (Sniffer): приклади
20.04.2015 NET - Ethernet Base
На сьогоднішній момент існує достатня кількість хороших реалізацій сніфферів. Деякі з них:
• Tcpdump (http://www.tcpdump.org/) – консольний варіант сніфферу. Працює на найбільш поширених на сьогоднішній день ОС;
• Wireshark (http://www.wireshark.org/) до недавнього часу був відомий під іменем Ethereal;
• WinDump http://www.winpcap.org/windump;
Wireshark: загальні відомості
20.04.2015 NET - Ethernet Base
Принцип захвату мережного трафіку.
• безкоштовна • основні компоненти:
• драйвер для захвату пакетів (libpcap драйвер WinPcap)
• інтерфейсна бібліотека (libpcap WinPcap) • інтерфейс користувача (Wireshark)
• Бібліотека libpcap (реалізація під ОС Windows WinPcap ): • працює безпосередньо з NDIS драйверами
мережних пристроїв • на базі даної бібліотеки реалізована велика
кількість мережних програм • сніфери використовують бібліотеку в режимі
"захвату" пакетів, тобто може отримувати копію всіх даних що проходить через драйвер мережного інтерфейсу.
• зміни в самі дані не вносяться
Wireshark: загальні відомості (прод)
20.04.2015 NET - Ethernet Base
Принцип захвату мережного трафіку.
• якщо локальний трафік не проходить через драйвер мережного пристрою то він не буде видимий сніффером.
• Wireshark дозволяє в режимі реального часу: • захватувати пакети з мережі • аналізувати структуру пакетів • аналізувати структуру пакетів з файлу, який
вміщує трафік, отриманий, наприклад програмою «tcpdump» (unix/linux)
Wireshark: загальний вигляд
20.04.2015 NET - Ethernet Base
https://drive.google.com/file/d/0B2FfwwwweBSVMzU2d1FEZTlNcUk/view