Зачем использовать коммерческий анализатор пакетов / протоколов вместо WireShark?
Я никогда не работал в "корпоративной" инфраструктурной группе, но отвечал за небольшие сети. WireShark (Ethereal в те времена) всегда работал для меня в таких ситуациях. Где проходит линия, когда нужно пересечься? Либо это?
3 ответа
С точки зрения анализа, в Wireshark нет ничего плохого. Фактически, многие корпоративные продукты используют код Wireshark.
Я думаю, что там, где все меняется, происходит захват в больших средах. В то время как в небольших магазинах, если вам нужно запустить захват пакетов, ноутбук с Wireshark подойдет. Однако, как только вы попадаете в более крупные среды с более высокими скоростями передачи данных, обычное оборудование часто не справляется с задачей захвата с линейной скоростью. В этих случаях часто приходится прибегать к таким поставщикам, как Endace или Niksun, чтобы выполнить захват; Эти поставщики разрабатывают специализированные аппаратные ASIC с очень большими буферами, которые гарантированно не сбрасывают трафик до его успешной записи на диск.
Однако даже при использовании этих устройств для записи я обнаружил, что при экспорте захватов пакетов на рабочую станцию для анализа Wireshark - это инструмент, к которому я обращаюсь.
Такой интересный вопрос... поскольку теперь у нас даже есть адаптер TuboCap для подключения и захвата с помощью Wireshark (производства CACE Technologies). А с помощью графических возможностей / отчетов Pilot, добавленных в Wireshark, - зачем вам платить большие деньги за коммерческий анализатор.
ИМХО, это редкая (и, возможно, ошибочная процедура) бросать анализатор в середину инфраструктуры, чтобы в любом случае захватывать грузы трафика. Если пользователь жалуется - захватите трафик как можно ближе к этому пользователю. Если эта система затопляет сеть, и Wireshark не может идти в ногу - вы можете (a) обычно сказать, что вызвано наводнением, просто исследуя короткий след трафика - подумайте Macof, или (b) запустить tshark по команде и сохраните в наборы файлов - затем изучите их в Wireshark.
Лаура Чаппелл Основатель Университета Wireshark (и бывший пользователь Sniffer, OmniPeek, Fluke и бывший менеджер по продуктам LANalyzer, когда-то) Основатель Университета Чаппелл
Лично я никогда не сталкивался с делом, когда для этого нужен был коммерческий продукт. Я работаю на поставщика программного обеспечения, и мы отправляем наших клиентов в WireShark несколько раз в день для устранения неполадок.