5 недостатков Wireshark: в чём бесплатный сниффер проигрывает коммерческим аналогам?
Анализ протоколов всегда ИТ-специалистами рассматривается как последняя линия обороны при решении проблем в работе приложений или сетевых устройств. Практически у каждого ИТ-специалиста на ноутбуке установлен анализатор протоколов типа Wireshark и каждый бесспорно может подключить его к сети и выполнить захват трафика. Но что делать дальше? Просто просмотреть пакеты для решения проблемы недостаточно. Для быстрого устранения проблем необходимо понимать основы сетевых протоколов, уметь настраивать фильтры для анализа полученных данных.
Лет 25 назад скорости в сети были низкие, сети плоские и анализатор протоколов использовался для решения многих проблем. В работе WAN каналов захватывали биты и байты и вручную формировали из них блоки данных. В локальной сети, по причине использования концентраторов и репиторов, трафик был виден практически весь в любой точке подключения. Позже с развитием корпоративных приложений и транспортного протокола TCP начали появляться встроенные экспертные системы, которые помогали определить наличие таких ошибок как TCP Retransmitions, Zero Window Size, Frozen Window и т.д.
В современных облачных, виртуальных сетях и приложениях технологии шагнули в область фокуса не на протоколах сетевого или транспортного уровня, а на уровень приложений, так как сами приложения стали все более распределенными, многоуровневыми и сложными. Все это предъявляет дополнительные требования к анализаторам протоколам (или снифферам, как их называют в народе) и встроенные экспертные системы должны помогать искать проблемы на уровне приложений.
В связи с концентрацией на самых высоких уровнях модели OSI меняется и сам подход к определению проблемы и поиска ее причины. Если классические анализаторы протоколов и их экспертные системы (типа Wireshark) работают по схеме снизу верх, то большинство коммерческих решений уже работает в направлении от приложения к декодированию трафика. И, как показывает жизнь, важнее автоматический расчет дельт по времени между нужными пакетами при общении между сервером и приложением, а также способность восстановить данные, которые были запрошены, нежели просто декодированный протокол на канальном, сетевом или транспортном уровнях.
В современном мире от ИТ-инфраструктуры требуется высокая производительность, а от специалистов, которые их обслуживают высокая эффективность. Анализаторы протоколов можно и нужно продолжать использовать, только необходимо переходить к более современным решениям в мире, где время решает все.
В этой статье мы рассмотрим пять параметров, по которым популярный бесплатный сниффер Wireshark проигрывает своим коммерческие аналогам.
Визуализация проблем: пакетный уровень vs уровень приложений
Wireshark имеет бесспорное преимущество при решении проблем в работе сети на канальном и сетевом уровнях. Это бесплатное решение и все затраты сводятся к времени: установить, освоить и решить или попытаться решить проблему. Количество копий не ограничено, и можно вооружить всех ИТ-специалистов, включая системных администраторов. Идеальное и удобное решение для просмотра пакетов, передаваемых по сети. После окончания захвата трафика мы видим вот такой экран:
На экране отображаются пакеты и их декодировка в лучших традициях данного жанра. Ни для кого не секрет, что декодирование протоколов Wireshark делает просто великолепно и многие коммерческие решения используют их наработки. Но далее все зависит от оператора и его познаний в области протоколов и их структуры, так как Wireshark дает пищу, но ее надо правильно приготовить и переварить. Именно поэтому наиболее популярный запрос в Яндекс после слова анализатор протоколов и сниффер — это фильтры и как их настраивать. Об этом поговорим позже.
При открытии того же самого файла в коммерческом продукте. Мы видим краткий обзор по сути ИТ-инфраструктуры и используемых в момент захвата корпоративных приложений. Для любого приложения мы видим количество серверов, потоков данных, количество проблем и других событий. В дополнении мы можем оценить полосу пропускания, которую занимает тот или иной протокол в рамках данного файла с захваченным трафиком. Мы можем выбрать любой протокол и, кликнув на него, сконцентрироваться на решении проблемы, не перебирая тысячи пакетов. Для настройки соответствующего фильтра просмотра или захвата достаточно кликнуть одну кнопку.
Экспертный анализ на уровне приложений
Цель в борьбе с проблемами в ИТ-инфраструктуре – сократить время простоя или время на решение этой проблемы. Когда речь заходит о решении проблем на транспортном уровне или уровне приложений встроенная экспертная система основной ключ к быстрому успеху. Wireshark имеет встроенную экспертную систему, но с фокусом от транспортного уровня вниз по стеку, что не облегчит жизнь при анализе проблем на уровне «7» (уровень приложения) сетевой модели OSI.
Коммерческие решения в данном случае принесут большую пользу, так как на обзорном экране мы видим красные точки, информирующие нас о проблемах, и далее в один клик мы видим список всех негативных событий, которые происходят на уровне приложения.
Таким образом, в три клика мышью мы получили список событий с адресами получателя и отправителя в адресных пространствах IPv4 или IPv6, типом протокола и временем обнаружения.
Восстановление структуры запросов
В некоторых случаях при решении проблем в работе Web приложений или баз данных важно понимать, какой запрос или страницу пытался загрузить пользователь. Для этого в сниффере Wireshark есть функция Follow TCP Stream, которая на основании комбинации адреса сервера и номеру порта может собрать пакеты, которые относятся к одной TCP сессии.
В окне аккуратно будут отображены данных, которые содержались в пакетах. Тем не менее, подобный формат не очень полезен при разрешении проблем с SQL запросами. На экране как раз отображается подобный запрос к базе данных. При сильном желании можно найти небольшую часть информации, но невозможно понять, что являлось SQL запросом, а что являлось ответом на него.
При использовании коммерческих решений у нас не возникнет проблем. Все запросы разбиты на несколько потоков. И нам легко определить их последовательность и что являлось запросом, а что ответом на него. Кликая на каждый отдельный поток, анализатор протоколов отобразит данные, которые запрашивались в удобном для понимания виде. Оценивая разницу во времени между потоками, мы можем понять какой запрос или ответ вызвал замедление в работе приложения.
Временная диаграмма потоков
Наглядное представление намного выразительнее, чем множество строк в таблице и позволяет сэкономить много времени при анализе, если пакеты выстроены в структуру и наглядно видна их последовательность. Wireshark и коммерчески продукты имеют такую возможность, но есть отличия в деталях и формате вывода данных. На двух скриншотах открыт один и тот же файл.
Для диагностики важно знать время установления соединения с сервером, время прохождения пакета по сети SYN и SYN ACK, время получения запроса HTTP к серверу и время начала ответа на него. Wireshark показывает нам все это, но в диаграмме присутствуют и другие фреймы, которые ходят между устройствами. Это мешает сконцентрироваться на решении проблемы. Время слева показывает единое время с момента начала общения между устройствами и все дельты необходимо высчитывать вручную, чтобы понять, где происходят основные потери времени.
Коммерческие продукты удаляют все лишние пакеты. На скриншоте мы видим запрос от пользователя к серверу (фрейм 586) и ответ, отправленный сервером (фрейм 605). Дельта по времени между этими фреймами позволяет сделать вывод о том, сколько времени потребовалось серверу для ответа на запрос. Убирая фреймы, которые не относятся к данной транзакции очень удобно, и позволяет проанализировать всю транзакцию на одном экране. Автоматически высчитав все дельты по времени между пакетами.
Объединение трейсов
Основная проблема при анализе производительности инфраструктуры — это понять, где происходят основные тормоза в сети или сервере. Для точного ответа на этот вопрос приходится осуществлять захват трафика на стороне пользователя и на стороне сервера. Этот метод позволит быстро ответит на поставленный вопрос. При решении данной задачи и Wireshark и коммерческие решения могут работать совместно. С помощью Wireshark мы осуществляем захват трафика в двух местах и далее с помощью функции, реализованной в коммерческих продуктах объединить два или несколько файлов. Сторонники Wireshark скажут, мы это и с помощью Mergecap сделаем. Да это верно, но коммерческие решения также объединенный файл синхронизируют по времени, и после этого временная диаграмма потока данных будет выглядеть очень наглядно и удобно для восприятия и анализа.
Выводы
На основании вышесказанного можно сделать вывод о том, что быстрый поиск и локализация проблем в производительности сети или приложений позволяет сократить время простоя и его влияние на эффективность, и репутацию компании в целом. Основные преимущества Wireshark – это первоначальная стоимость решения (БЕСПЛАТНО), захват трафика в каналах на скорости до 1Гбит/сек (почему, покажем наглядно в следующих материалах) и его отличные возможности в декодировании трафика и решении проблем на транспортном, сетевом и канальном уровнях.
Но если задача более сложная и связана с устранением проблем в работе приложений и сервисов, то коммерческие продукты имеют очевидные преимущества, которые позволяют повысить эффективность специалистов и существенно сократить время устранения проблем с производительностью на всех уровнях модели OSI от уровня 2 до уровня 7 при несущественных первоначальных инвестициях. Из наиболее интересных коммерческих продуктов тут можно отметить решение ClearSight Analyzer от компании Fluke Networks и решение Observer Analyzer от Network Instruments.
См. также:
Видео “Ограничения бесплатного сниффера Wireshark“.
Всегда на связи, Игорь Панов
См. также:
- Как настроить фильтры для захвата трафика в WireShark? Примеры!
- Wireshark за 8 шагов: от установки программы до перехвата и анализа трафика
- Диагностика сети и приложений с помощью OptiView XG
Авторизуйтесь для этого