協定分析儀

分析網路中傳輸數據包的最佳方式很大程度上取決於你手頭擁有什麼設備。在網路技術發展的早期階段（使用HUB或集線器的共享網路時代），答案很簡單，只須將線路插在一台集線器上，一切就搞定了——那就是使用協定分析儀。

協定分析儀就是能夠捕獲網路報文的設備。協定分析儀的正當用處在於撲捉分析網路的流量,以便找出所關心的網路中潛在的問題。例如,假設網路的某一段運行得不是很好,報文的傳送比較慢,而我們又不知道問題出在什麼地方,此時就可以用協定分析儀來作出精確的問題判斷。

協定分析儀在功能和設計方面有很多不同。有些只能分析一種協定，而另一些能夠分析幾百種協定。一般情況下，大多數的嗅探器至少能夠分析下面的協定：

TCP/IP

IPX

DECNet

其它……

協定分析儀通常是軟硬體的結合，通常使用專用硬體或設定為專用方式的網卡實施對網路中的數據撲捉。捕獲在網路中傳輸的數據信息方法稱為sniffing（嗅探）。

乙太網協定是在同一迴路向所有主機傳送數據包信息。數據包頭包含有目標主機的正確地址。一般情況下只有具有該地址的主機會接受這個數據包。如果一台主機能夠接收所有數據包，而不理會數據包頭內容，這種方式通常稱為“混雜”模式(P 模式)。這是協定分析儀撲捉數據的基礎，它的產生是由共享網路的方式而來的。

對於今天的乙太網交換機，答案開始變成“視情況而定”。根據設計，大多數交換機不允許用戶查看從伺服器到工作站的流量狀況（用戶正在使用的那台工作站除外）。事實上，這種情況通過連線埠映射技術可能解決。具體來講，就是將傳送到交換機上某個連線埠的傳輸流複製到另一個連線埠。但需要注意的是，目前的交換機又分為可管理的交換機和不可管理的交換機，不可管理的交換機價格比可管理的交換機要便宜，但通常缺少進行連線埠映射的能力。有些交換機雖然自稱是可管理的，但實際上可能不過是支持SNMP，也許仍不具有連線埠映射功能。在用戶為網路購買新交換機時，這是一個需要搞清楚的重要問題。

如果用戶的交換機不支持連線埠映射，也有方法來解決。這些方法對於在交換環境下的協定分析工作來說更加常用：

廉價和方便的方法：可以在被測試的工作站與網路之間安裝一台集線器。將協定分析儀連線到這台集線器上，觀察兩個方向的傳輸流。昂貴和專業的方法：使用專業的乙太網測試接口盒（TAP）在線上安裝在被測網路上，無需在使用的分析儀內執行額外的過濾就可查看一個方向的會話情況。這意味著用戶不能同時看到全部的會話，因此也許需要進行一些額外的數據包捕獲，來掌握全部情況。

協定分析儀原本是網路工程師的常用工具，不過被人利用來做其他的目的也是非常常見的。現今的黑客們都熟練地使用著功能強大的協定分析儀，這本來就是一個工具的兩面性。

對於能使用協定分析儀的人員來說，本身他的權利就是很大的，如果他用這東西來幹些什麼，很難阻止的。這個工具用在安全形度，即有用又有害。就象刀子一樣，看它拿在誰的手中了。……

以上內容整理自《安恆網路維護論壇》

協定分析儀 protocol analyser 的工作從原理上要分為兩個部分：數據採集數據撲捉、協定分析。對這兩部分的工作從實現的形式上來說有以下常見的幾種形式：

純軟體的協定分析系統，如：Fluke的OptiView-PE。大多數的純軟體協定分析儀是可以使用普通的網卡來完成進行簡單的數據採集工作的，這就是使用率最多的協定分析軟體+PC網卡。這種方式的協定分析儀通常有兩種原因存在的。①簡單廉價的軟體，或自由軟體，小巧實用，功能較弱②運行在PC或報價本電腦上的協定分析儀的軟體部分，本來協定分析工作就是基於軟體分析的工作。所以再高端的協定分析儀其軟體部分也是要由計算機平台實現的。 基於筆記本+數據採集箱的攜帶型協定分析儀這種方式與上述採用協定分析軟體+PC網卡的主要區別就是專用的數據採集系統，在對複雜和高速的網路鏈路上要想全線速地撲捉或更有效地進行實時數據過濾採用專用的數據採集方式是必須的。 手持式綜合協定分析儀從協定分析儀發展的角度來說，網路維護人員越來越需要使用功能強大並能將多種網路測試手段集於一身的綜合式測試分析手段，典型的協定分析儀上的功能延展就是加入網管功能、自動網路信息蒐集功能、智慧型的專家故障診斷功能， 並且移動性能要有效。這種綜合的協定分析儀或者說是綜合的網路分析儀成為了當今網路維護和測試儀的主要發展趨勢，象Fluke 的OptiView INA自上市來在網路現場分析、故障診斷、網路維護方法得到了相當廣泛的套用和發展。分散式協定分析儀隨著網路維護規模的加大，網路技術的變化，網路關鍵數據的採集也越來越困難。有時為了分析和採集數據，必須能在異地同時第進行採集，於是將協定分析儀的數據採集系統獨立開來，能安置在網路的不同地方，由能控制多個採集器的協定分析儀平台進行管理和數據處理，這種套用模式就誕生了分散式協定分析儀。通常這種方式的造價會非常高的。

線路上的數據，即數據電路終接設備（DCE）和數據終端設備（DTE）之間的通信數據經過輸入接口單元進入協定分析儀。輸入接口單元是一個具有高阻接口的電平轉換器。在執行監視功能時，協定分析儀從高阻接口上接收數據，能夠儘可能地減少對線路的影響。在執行模擬功能時，輸入接口單元能夠提供與被測設備接口相同的電氣條件和物理條件。數據以串列方式透明地通過切換器直接進入串-並變換器。數據在串-並變換器中建立同步，且由串列變換為並行，同時還進行差錯檢驗。由此進入捕獲存儲器、觸發器和收發信分析器。捕獲存儲器將輸入的數據收錄下來，進行再生顯示、詳細檢驗和其他的脫線處理。觸發器則根據設定的比特序列、差錯計數、數據機的控制信號和外部輸入等各種觸發因素，迅速地進行數據分析和故障切離。收發信分析器以協定（通常有BSC、HDLC、SDLC、X．25和X．75等）為基準來分析和檢驗數據，且以“助記符”的形式由示波器顯示出來。模擬器在執行模擬功能時使用。大容量存儲器用於保存監視器和模擬器的設定條件清單、模擬過程的程式和捕獲存儲器收錄的數據等，主控制器用於控制協定分析儀各個組成部分的動作，並且進行實時調節和協調，對各部分進行初始化。

協定分析儀的基本功能有：①監視功能：將協定分析儀連線在數據通信系統上，在不影響系統運行的情況下，從線路上取出所傳送的數據和接收的數據，進行數據的存儲、顯示和分析。②模擬功能，將協定分析儀直接與被測設備（數據終端設備或主計算機）連線，按照預先設定的程式，同被測設備通信，進行數據的傳送、接收數據的判斷和應答數據的判斷，檢驗被測設備協定實現的正確性。

協定分析儀的標準框圖如圖1所示，由輸入接口單元、切換器、串-並變換器、捕獲存儲器、觸發器、收發信分析器、顯示器、模擬器、大容量存儲器和主控制器等部分組成。

協定分析儀大致有小型、中型和大型三種產品。小型協定分析儀一般是攜帶型的低檔機，主要用於數據終端設備（包括主計算機）的維護和故障分析。具有液晶顯示和RS-232接口，速度可達19．2kbit/s，可以支持HDLC、BSC等協定。中型協定分析儀主要用於數據通信設備的技術開發和現場故障診斷分析，以監視功能為主，具有單色顯示器和V．24、V．28接口，速度可達50～100kbit/s，可支持BSC、HDLC、SDLC、DDCMP，X．25、X．75和SNA等協定，一般配有13．3cm（5．25英寸）軟碟和500KB～2MB的磁帶。大型協定分析儀一般是能夠提供豐富軟體的高檔機種。它側重於軟體開發，具有高速監視器和較強的模擬功能。其特點是速度可達64kbit/s至1．6Mbit/s，具有鍵盤和CRT彩色顯示等用戶接口，提供BASIC等語言和專用語言以及諸如X．25、HDLC、SNA等各種協定的軟體包，一般配有硬碟。

展望協定分析儀已成為數據通信系統設計、建設和管理維護所不可缺少的工具。隨著數據通信技術的不斷發展，協定分析儀將向三個方向發展。

①增強功能。開發、測試和分析高層協定將是協定分析儀發展的必然趨勢。同時，協定分析儀還將逐漸增加協定一致性測試功能，向開放系統互連（OSI）一致性測試方向發展。

②擴大套用範圍。協定分析儀除用於各種數據通信系統和廣域數據通信網外，有效地套用到區域網路（LAN）和綜合業務數字網（ISDN）等領域也是一個必然的趨勢。

③提高操作的方便程度。採用將模擬功能與編程功能分開；增加顯示螢幕的尺寸和提高顯示螢幕的清晰度；增加翻譯顯示等措施，以提高操作的方便程度。