5 недоліків Wireshark у чому безкоштовний сніффер програє комерційним аналогам

Років 25 тому швидкості в мережі були низькі, мережі плоскі та аналізатор протоколів використовувався для вирішення багатьох проблем. У роботі WAN каналів захоплювали біти та байти і вручну формували їх блоки даних. У локальній мережі, через використання концентраторів і репіторів, трафік був видно практично весь у будь-якій точці підключення. Пізніше з розвитком корпоративних програм та транспортного протоколу TCP почали з'являтися вбудовані експертні системи, які допомагали визначити наявність таких помилок як TCP Retransmitions, Zero Window Size, Frozen Window і т.д.

У сучасних хмарних, віртуальних мережах і додатках технології зробили крок у область фокусу не так на протоколах мережного чи транспортного рівня, але в рівень додатків, оскільки самі додатки стали дедалі розподіленішими, багаторівневими і складними. Все це висуває додаткові вимоги до аналізаторів протоколів (або сніфферів, як їх називають у народі) та вбудовані експертні системи повинні допомагати шукати проблеми на рівні додатків.

У зв'язку з концентрацією на найвищих рівнях моделі OSI змінюється сам підхід до визначення проблеми та пошуку її причини. Якщо класичні аналізатори протоколів та їх експертні системи (типу Wireshark) працюють за схемою знизу верх, більшість комерційних рішень вже працює у напрямку до додатку до декодування трафіку. І, як показує життя, важливішим є автоматичний розрахунок дельт за часом між потрібними пакетами при спілкуванні між сервером і програмою, а також здатність відновити дані, які були запитані, ніж просто декодований протокол на канальному, мережевому або транспортному рівнях.

У сучасномуУ світі від ІТ-інфраструктури потрібна висока продуктивність, а від фахівців, які їх обслуговують високу ефективність. Аналізатори протоколів можна і потрібно продовжувати використовувати, тільки необхідно переходити до більш сучасних рішень у світі, де вирішує все.

У цій статті ми розглянемо п'ять параметрів, за якими популярний безкоштовний сніффер Wireshark програє своїм комерційним аналогам.

Візуалізація проблем: пакетний рівень vs.

чому

На екрані відображаються пакети та їх декодування у найкращих традиціях даного жанру. Ні для кого не секрет, що декодування протоколів Wireshark робить просто чудово і багато комерційних рішень використовують їх напрацювання. Але далі все залежить від оператора та його знань у галузі протоколів та їх структури, оскільки Wireshark дає їжу, але її треба правильно приготувати та переварити. Саме тому найбільш популярний запит у Яндекс після слова аналізатор протоколів та сніффер – це фільтри та як їх налаштовувати. Про це поговоримо пізніше.

wireshark

Експертний аналіз на рівні додатків

Мета у боротьбі з проблемами в ІТ-інфраструктурі – скоротити час простою або час на вирішення цієї проблеми. Коли йдеться про вирішення проблем на транспортному рівні або рівні додатків, вбудована експертна система основний ключ до швидкого успіху. Wireshark має вбудовану експертну систему, але з фокусом від транспортного рівня вниз по стеку, що не полегшить життя під час аналізу проблем на рівні «7» (рівень програми) мережевої моделі OSI.

чому

Комерційні рішення в даному випадку принесуть велику користь, тому що на оглядовому екрані ми бачимо червоні точки, що інформують нас про проблеми, і далі в один клік ми бачимо список усіх негативних подій,які відбуваються лише на рівні докладання.

безкоштовний

Відновлення структури запитів

недоліків

У вікні акуратно відображатимуться дані, які містилися в пакетах. Тим не менш, подібний формат не дуже корисний при вирішенні проблем із запитами SQL. На екрані відображається подібний запит до бази даних. При сильному бажанні можна знайти невелику частину інформації, але неможливо зрозуміти, що було запитом SQL, а що було відповіддю на нього.

wireshark

При використанні комерційних рішень ми не матимемо проблем. Усі запити розбиті кілька потоків. І нам легко визначити їхню послідовність і що було запитом, а що відповіддю на нього. Клацаючи на кожен окремий потік, аналізатор протоколів відобразить дані, які запитували у зручному для розуміння вигляді. Оцінюючи різницю у часі між потоками, ми можемо зрозуміти, який запит або відповідь викликав уповільнення роботи програми.

Тимчасова діаграма потоків

Наочне уявлення набагато виразніше, ніж безліч рядків у таблиці і дозволяє заощадити багато часу при аналізі, якщо пакети вибудовані в структуру та наочно видно їх послідовність. Wireshark та комерційно продукти мають таку можливість, але є відмінності в деталях та форматі виведення даних. На двох скріншотах відкритий той самий файл.

wireshark

Для діагностики важливо знати час встановлення з'єднання з сервером, час проходження пакету через мережу SYN і SYN ACK, час отримання запиту HTTP до сервера та час початку відповіді на нього. Wireshark показує нам усе це, але в діаграмі є й інші кадри, які ходять між пристроями. Це заважає сконцентруватися на вирішенні проблеми. Час зліва показує єдиний час з моменту початку спілкування міжпристроями та всі дельти необхідно вираховувати вручну, щоб зрозуміти, де відбуваються основні втрати часу.

безкоштовний

Комерційні продукти видаляють усі зайві пакети. На скріншоті ми бачимо запит від користувача до сервера (фрейм 586) та відповідь, надіслана сервером (фрейм 605). Дельта часу між цими кадрами дозволяє зробити висновок про те, скільки часу знадобилося серверу для відповіді на запит. Забираючи кадри, які не відносяться до цієї транзакції, дуже зручно, і дозволяє проаналізувати всю транзакцію на одному екрані. Автоматично вирахувавши всі дельти між пакетами.

Об'єднання трейсів

Основна проблема при аналізі продуктивності інфраструктури – це зрозуміти, де відбуваються основні гальма у мережі чи сервері. Для точної відповіді на це питання доводиться здійснювати захоплення трафіку на стороні користувача та сервері. Цей метод дозволить швидко відповісти на поставлене запитання. При вирішенні цього завдання Wireshark і комерційні рішення можуть працювати спільно. За допомогою Wireshark ми здійснюємо захоплення трафіку у двох місцях і далі за допомогою функції, реалізованої в комерційних продуктах, об'єднати два або кілька файлів. Прихильники Wireshark скажуть, ми це за допомогою Mergecap зробимо. Так це вірно, але комерційні рішення також об'єднаний файл синхронізують за часом, і після цього тимчасова діаграма потоку даних виглядатиме дуже наочно та зручно для сприйняття та аналізу.

wireshark

На підставі вищесказаного можна зробити висновок про те, що швидкий пошук та локалізація проблем у продуктивності мережі або додатків дозволяє скоротити час простою та його вплив на ефективність та репутацію компанії в цілому. Основні переваги Wireshark – це первісна вартістьрішення (БЕЗКОШТОВНО), захоплення трафіку в каналах на швидкості до 1Гбіт/сек (чому, покажемо наочно в наступних матеріалах) та його відмінні можливості у декодуванні трафіку та вирішенні проблем на транспортному, мережевому та канальному рівнях.

Але якщо завдання більш складне і пов'язане з усуненням проблем у роботі додатків та сервісів, то комерційні продукти мають очевидні переваги, які дозволяють підвищити ефективність фахівців та суттєво скоротити час усунення проблем з продуктивністю на всіх рівнях моделі OSI від рівня 2 до рівня 7 при несуттєвих початкових інвестиціях. З найцікавіших комерційних продуктів тут можна відзначити рішення ClearSight Analyzer від компанії Fluke Networks та рішення Observer Analyzer від Network Instruments.

Відео “Обмеження безкоштовного сніфера Wireshark“.