協議分析儀

分析網絡中傳輸數據包的最佳方式很大程度上取決於你手頭擁有什麼設備。在網絡技術發展的早期階段（使用HUB或集線器的共享網絡時代），答案很簡單，只須將線路插在一台集線器上，一切就搞定了——那就是使用協議分析儀。

協議分析儀就是能夠捕獲網絡報文的設備。協議分析儀的正當用處在於撲捉分析網絡的流量,以便找出所關心的網絡中潛在的問題。例如,假設網絡的某一段運行得不是很好,報文的發送比較慢,而我們又不知道問題出在什麼地方,此時就可以用協議分析儀來作出精確的問題判斷。

協議分析儀在功能和設計方面有很多不同。有些只能分析一種協議，而另一些能夠分析幾百種協議。一般情況下，大多數的嗅探器至少能夠分析下面的協議：

TCP/IP

IPX

DECNet

其它……

協議分析儀通常是軟硬件的結合，通常使用專用硬件或設置為專用方式的網卡實施對網絡中的數據撲捉。捕獲在網絡中傳輸的數據信息方法稱為sniffing（嗅探）。

以太網協議是在同一迴路向所有主機發送數據包信息。數據包頭包含有目標主機的正確地址。一般情況下只有具有該地址的主機會接受這個數據包。如果一台主機能夠接收所有數據包，而不理會數據包頭內容，這種方式通常稱為“混雜”模式(P 模式)。這是協議分析儀撲捉數據的基礎，它的產生是由共享網絡的方式而來的。

對於今天的以太網交換機，答案開始變成“視情況而定”。根據設計，大多數交換機不允許用户查看從服務器到工作站的流量狀況（用户正在使用的那台工作站除外）。事實上，這種情況通過端口映射技術可能解決。具體來講，就是將傳送到交換機上某個端口的傳輸流複製到另一個端口。但需要注意的是，目前的交換機又分為可管理的交換機和不可管理的交換機，不可管理的交換機價格比可管理的交換機要便宜，但通常缺少進行端口映射的能力。有些交換機雖然自稱是可管理的，但實際上可能不過是支持SNMP，也許仍不具有端口映射功能。在用户為網絡購買新交換機時，這是一個需要搞清楚的重要問題。

如果用户的交換機不支持端口映射，也有方法來解決。這些方法對於在交換環境下的協議分析工作來説更加常用：

廉價和方便的方法：可以在被測試的工作站與網絡之間安裝一台集線器。將協議分析儀連接到這台集線器上，觀察兩個方向的傳輸流。昂貴和專業的方法：使用專業的以太網測試接口盒（TAP）聯機安裝在被測網絡上，無需在使用的分析儀內執行額外的過濾就可查看一個方向的會話情況。這意味着用户不能同時看到全部的會話，因此也許需要進行一些額外的數據包捕獲，來掌握全部情況。

協議分析儀原本是網絡工程師的常用工具，不過被人利用來做其他的目的也是非常常見的。現今的黑客們都熟練地使用着功能強大的協議分析儀，這本來就是一個工具的兩面性。

對於能使用協議分析儀的人員來説，本身他的權利就是很大的，如果他用這東西來幹些什麼，很難阻止的。這個工具用在安全角度，即有用又有害。就象刀子一樣，看它拿在誰的手中了。……

以上內容整理自《安恆網絡維護論壇》

協議分析儀 protocol analyser 的工作從原理上要分為兩個部分：數據採集數據撲捉、協議分析。對這兩部分的工作從實現的形式上來説有以下常見的幾種形式：

純軟件的協議分析系統，如：Fluke的OptiView-PE。大多數的純軟件協議分析儀是可以使用普通的網卡來完成進行簡單的數據採集工作的，這就是使用率最多的協議分析軟件+PC網卡。這種方式的協議分析儀通常有兩種原因存在的。①簡單廉價的軟件，或自由軟件，小巧實用，功能較弱②運行在PC或報價本電腦上的協議分析儀的軟件部分，本來協議分析工作就是基於軟件分析的工作。所以再高端的協議分析儀其軟件部分也是要由計算機平台實現的。 基於筆記本+數據採集箱的便攜式協議分析儀這種方式與上述採用協議分析軟件+PC網卡的主要區別就是專用的數據採集系統，在對複雜和高速的網絡鏈路上要想全線速地撲捉或更有效地進行實時數據過濾採用專用的數據採集方式是必須的。 手持式綜合協議分析儀從協議分析儀發展的角度來説，網絡維護人員越來越需要使用功能強大並能將多種網絡測試手段集於一身的綜合式測試分析手段，典型的協議分析儀上的功能延展就是加入網管功能、自動網絡信息蒐集功能、智能的專家故障診斷功能， 並且移動性能要有效。這種綜合的協議分析儀或者説是綜合的網絡分析儀成為了當今網絡維護和測試儀的主要發展趨勢，象Fluke 的OptiView INA自上市來在網絡現場分析、故障診斷、網絡維護方法得到了相當廣泛的應用和發展。分佈式協議分析儀隨着網絡維護規模的加大，網絡技術的變化，網絡關鍵數據的採集也越來越困難。有時為了分析和採集數據，必須能在異地同時第進行採集，於是將協議分析儀的數據採集系統獨立開來，能安置在網絡的不同地方，由能控制多個採集器的協議分析儀平台進行管理和數據處理，這種應用模式就誕生了分佈式協議分析儀。通常這種方式的造價會非常高的。

線路上的數據，即數據電路終接設備（DCE）和數據終端設備（DTE）之間的通信數據經過輸入接口單元進入協議分析儀。輸入接口單元是一個具有高阻接口的電平轉換器。在執行監視功能時，協議分析儀從高阻接口上接收數據，能夠儘可能地減少對線路的影響。在執行模擬功能時，輸入接口單元能夠提供與被測設備接口相同的電氣條件和物理條件。數據以串行方式透明地通過切換器直接進入串-並變換器。數據在串-並變換器中建立同步，且由串行變換為並行，同時還進行差錯檢驗。由此進入捕獲存儲器、觸發器和收發信分析器。捕獲存儲器將輸入的數據收錄下來，進行再生顯示、詳細檢驗和其他的脱線處理。觸發器則根據設定的比特序列、差錯計數、調制解調器的控制信號和外部輸入等各種觸發因素，迅速地進行數據分析和故障切離。收發信分析器以協議（通常有BSC、HDLC、SDLC、X．25和X．75等）為基準來分析和檢驗數據，且以“助記符”的形式由示波器顯示出來。模擬器在執行模擬功能時使用。大容量存儲器用於保存監視器和模擬器的設定條件清單、模擬過程的程序和捕獲存儲器收錄的數據等，主控制器用於控制協議分析儀各個組成部分的動作，並且進行實時調節和協調，對各部分進行初始化。

協議分析儀的基本功能有：①監視功能：將協議分析儀連接在數據通信系統上，在不影響系統運行的情況下，從線路上取出所發送的數據和接收的數據，進行數據的存儲、顯示和分析。②模擬功能，將協議分析儀直接與被測設備（數據終端設備或主計算機）連接，按照預先設置的程序，同被測設備通信，進行數據的發送、接收數據的判斷和應答數據的判斷，檢驗被測設備協議實現的正確性。

協議分析儀的標準框圖如圖1所示，由輸入接口單元、切換器、串-並變換器、捕獲存儲器、觸發器、收發信分析器、顯示器、模擬器、大容量存儲器和主控制器等部分組成。

協議分析儀大致有小型、中型和大型三種產品。小型協議分析儀一般是便攜式的低檔機，主要用於數據終端設備（包括主計算機）的維護和故障分析。具有液晶顯示和RS-232接口，速度可達19．2kbit/s，可以支持HDLC、BSC等協議。中型協議分析儀主要用於數據通信設備的技術開發和現場故障診斷分析，以監視功能為主，具有單色顯示器和V．24、V．28接口，速度可達50～100kbit/s，可支持BSC、HDLC、SDLC、DDCMP，X．25、X．75和SNA等協議，一般配有13．3cm（5．25英寸）軟盤和500KB～2MB的磁帶。大型協議分析儀一般是能夠提供豐富軟件的高檔機種。它側重於軟件開發，具有高速監視器和較強的模擬功能。其特點是速度可達64kbit/s至1．6Mbit/s，具有鍵盤和CRT彩色顯示等用户接口，提供BASIC等語言和專用語言以及諸如X．25、HDLC、SNA等各種協議的軟件包，一般配有硬盤。

展望協議分析儀已成為數據通信系統設計、建設和管理維護所不可缺少的工具。隨着數據通信技術的不斷髮展，協議分析儀將向三個方向發展。

①增強功能。開發、測試和分析高層協議將是協議分析儀發展的必然趨勢。同時，協議分析儀還將逐漸增加協議一致性測試功能，向開放系統互連（OSI）一致性測試方向發展。

②擴大應用範圍。協議分析儀除用於各種數據通信系統和廣域數據通信網外，有效地應用到局域網（LAN）和綜合業務數字網（ISDN）等領域也是一個必然的趨勢。

③提高操作的方便程度。採用將模擬功能與編程功能分開；增加顯示屏幕的尺寸和提高顯示屏幕的清晰度；增加翻譯顯示等措施，以提高操作的方便程度。