Die Einhaltung bestimmter Vorschriften beim Legen des Messpunkts sowie bestimmter Format-Regeln hinsichtlich der aufgezeichneten Messdaten trägt entscheidend zum Erfolg bzw. Misserfolg einer LAN-Analyse bei.
Nicht alle Analyzer eignen sich in gleicher Form, diese Vorgaben bzw. Richtlinien einzuhalten. Daher sollte für praktische Einsätze zuvor gründlich geprüft werden, auf welchen Analyzer bzw. auf welche Capture Engine man sich festlegen möchte.
Die Wahl des Messpunktes kann sehr bedeutsam sein für den Erfolg, desgleichen die Hardware-Schaltung, die dem Messpunkt zu Grunde liegt.
Die Wahl der richtigen Vorgehensweise, verbunden mit der Wahl der richtigen Instrumente, spielt eine entscheidende Rolle, zeitkritische Probleme schnell, zuverlässig und transparent zu lösen. Hierzu hat Synapse Networks GmbH die Strategie der Prima Vista Analyse entwickelt.
Einige wichtige Produkte der Gattung der LAN-Analyzer werden folgend kurz vorgestellt. (Die Liste ist zwangsläufig unvollständig. Sollte ein interessantes Produkt nicht vertreten sein, bitten wir um Mitteilung an die Redaktion.)
Der vormals unter dem Namen "Appdancer" vertriebene Analyzer hat starke Fähigkeiten, in Echtzeit Protokolle wie DNS mittels durchdachter Visualisierung begreiflich zu machen.
Die Stärken der Online-Analyse verlieren sich, wenn es um die Offline-Analyse großer Datenmengen geht.
Aus der Sicht einer Messdaten-Auswertung durch TraceMagic spielt dieser Analyzer keine zentrale Rolle, weil er für die Aufzeichnung großer Datenmengen in kurzer Zeit eher weniger geeignet erscheint.
WildPackets gehört seit Ende der 90er Jahre zu den heraus ragenden Herstellern. Zunächst in Apple-Netzwerken groß geworden, ist die Familie der "Peek"-Analyzer heute (neben den Erzeugnissen weniger anderer Hersteller) weltweit führend.
EtherPeek: Ethernet (via Hub, via Mirror-Port) GigaPeek: Ethernet (via Tap, via Media Splitter) OmniPeek: Vereint EtherPeek, GigaPeek als zentrale Console
Die Zuverlässigkeit der Daten-Aufzeichnung ist sehr hoch, Verluste von LAN-Paketen sind eher selten.
Paket-Dekodierung und -Darstellung, Paket-Filterung und allgemeine Handhabung machen die Peek-Produkte zu einem Muss für Profis, die viel in Handarbeit durch Messdaten navigieren müssen.
Für die reine Aufzeichnung (das "capture") gibt es inzwischen den extrem preisgünstigen "PacketGrabber". Gegen vernachlässigenswerten Preis lässt sich jeder taugliche PC zu einer Capture Engine aufrüsten.
Aus der Sicht einer Messdaten-Auswertung durch TraceMagic spielt dieser Analyzer eine wichtige Rolle, da die Zuverlässigkeit den Anforderungen gerecht wird. Außerdem unterstützt die TraceMagic-Analyse nur die "Peek"-Zeitstempel (Zeit-Angaben zu den LAN-Paketen innerhalb der Trace Files), nicht dagegen die Zeitstempel anderer Analyzer.
Fluke als Hersteller bietet Hardware-Lösungen an, die den Vorteil bieten, Techniker schnell im Gebrauch unterwiesen zu haben. Da fest eingestellte Test-Szenarien verwendet werden statt kompliziert einzustellender Spezial-Verfahren, sind die Ergebnisse stets vorhersagbar - im guten wie im schlechten Sinne. Im guten Sinne: Die Test sind quasi standardisiert, ein festgelegtes Leistungs-Spektrum wird immer zuverlässig abgedeckt. Im schlechten Sinne: Über dieses fest stehende Maß hinaus ist wenig möglich. Aber genau hier setzt oft LAN-Analyse erst an.
Aus der Sicht einer Messdaten-Auswertung durch TraceMagic spielt diese Analyzer-Technik keine Rolle, da sie nicht für Dauer-Aufzeichnungen ausgelegt ist.
In den 90er Jahren war der LANdecoder (DOS) bzw. LANdecoder32 ein Geheimtip für Kenner: Protokoll-Dekodierung und -Darstellung, Paket-Filterung, Handhabung, Experten-System für TCP/IP: Alles sehr praxisnah und vorzüglich programmiert. Da sehr niedrige Preise verlangt wurden, war der LANdecoder ein "Muss" für Profis der LAN-Analyse.
Nachdem der vormalige Chef-Entwickler das Team bzw. den Hersteller verlassen hatte, wurde es ruhiger, der Programm-Code wurde z.T. langsamer, die Entwicklungs-Geschwindigkeit nahm am.
Heute spielt der LANdecoder32 (zumindest auf dem deutschen Markt) keine nennenswerte Rolle mehr.
Aus der Sicht einer Messdaten-Auswertung durch TraceMagic spielt dieser Analyzer daher ebenfalls keine Rolle mehr.
Die NetScout-Probes sind nicht eigentlich LAN-Analyzer im Sinne von PCs bzw. PC-Programmen. Es handelt sich um Hardware-Agenten, die ans LAN gekoppelt und per Remote Control gesteuert werden. Sie sind in der Lage, Trace Files zu erzeugen.
NetVCR ist nur bedingt ein Analyzer. Hauptsächlich betreibt diese Maschine das pausenlose und vollständige Aufzeichnen von LAN-Verkehr zu Zwecken späterer Verfügbarkeit (forensische Analyse).
NetVCR hat starke statistische Funktionen und ein einfaches Experten-System.
Es ist zwar möglich, aus dem NetVCR-Archiv Capture-Daten auszukoppeln und im Sniffer-Format abzuspeichern; leider jedoch werden alle ausgekoppelten Daten in nur einer einzigen Trace-Datei abgespeichert, so dass diese schnell zu groß ist für eine Verarbeitung durch TraceMagic.
Daher ist NetVCR nur höchst eingeschränkt tauglich im Sinne einer späteren Analyse der Daten durch TraceMagic.
Der Observer hat starke Statistik-Fähigkeiten, zumal jeder Windows-PC mit einem Analyse-Agenten versehen werden kann, über den die Zentral-Station sowohl Statistiken wie auch Capture-Daten einsammeln kann.
Die Fähigkeiten des Experten-Systems beziehen sich weitgehend auf statistische Merkmale bzw. quantitativ fassbare Ereignisse, etwa Mengen- und Zeitverhalten. Die Fähigkeiten zur Erkennung logischer Probleme (etwa von Applikationen oder Konfigurationen) sind nicht sehr ausgeprägt.
Aus der Sicht einer Messdaten-Auswertung durch TraceMagic spielt dieser Analyzer eine ambivalente Rolle: Die Trace Files sind gut geeignet; gleichwohl würde man sich aus Sicht einer TraceMagic-Analyse vermutlich eher für andere Analyzer entscheiden, die den speziellen Erfordernissen besser gerecht werden.
Hersteller: Network General (vormals: Network Associates Inc. NAI)
"Sniffer" ist die vermutlich älteste am Markt eingeführte Produkt-Marke im Bereich der LAN-Analyse. Die heutige Windows-Version von Sniffer beruht stark auf einem in den 90er Jahren zugekauften Produkt, dem damaligen NetXRay (Cinco).
Der Sniffer ist sehr umstritten. Durch seine starke Verbreitung war er lange als das allgemein akzeptierte Werkzeug bekannt (und von den Anwendern als Elite-Werkzeug verteidigt); viele Praktiker jedoch sahen und sehen den Wert insbesondere im Bereich der Experten-Analyse als höchsten mäßig an.
Der frühere Vorteil von Sniffer, sehr schnell neue LAN/WAN-Protokolle in den Bibliotheken implementiert zu haben, zählt heute kaum noch, seitdem mit Ethereal ein kostenfreier Analyzer zur Verfügung steht, der diese Aktualität mindestens ebenso bietet (wenn nicht besser).
Aus der Sicht einer Messdaten-Auswertung durch TraceMagic spielt dieser Analyzer eine ambivalente Rolle: Die Trace Files sind gut geeignet; gleichwohl würde man sich aus Sicht einer TraceMagic-Analyse vermutlich eher für andere Analyzer entscheiden.
Surveyor ist ein LAN-Analyzer, der sowohl als einfache PC-Software, aber auch als Hardware-Analyzer bezogen werden kann. Als Software-Analyzer hat er zumindest im deutschen Markt wenig Bedeutung; als Hardware-Analyzer hat das Produkt eine zum Teil erhebliche Leistungsfähigkeit.
Diese Software ist nicht selbst ein "echter" LAN-Analyzer, da keine Visualisierung in Form von Protocol Decoding erfolgt.
Der sowohl unter Windows wie auch unter Unix/Linux laufende Abkömmling ist Ethereal bzw. WireShark.
Aus der Sicht einer Messdaten-Auswertung durch TraceMagic spielt TcpDump eine positive Rolle, da für wenig Geld leistungsstarkes Capturing betrieben werden kann.
Autor: Frank R. Walther Vertrieb: Synapse:Networks GmbH
TraceCommander ist insofern kein klassischer LAN-Analyzer, insofern er kein Packet Decoding der üblichen Art liefert.
TraceCommander dient der möglichst schnellen, einfachen und zuverlässigen Aufzeichnung von LAN-Traces über die Ethereal/WireShark Capture Engines "TEthereal.EXE" und "TShark.EXE" sowie der automatischen Auswertung dieser Traces durch die Analyse-Experten-Systeme MiniMagic und TraceMagic.
Autor: Frank R. Walther Vertrieb: Synapse:Networks GmbH
Dieser Offline-Analyzer zeichnet nicht selbst LAN-Traffic auf, sondern wertet die Aufzeichnungen anderer Analyzer (s.o.) mit seinen Funktionen der Experten-Analyse aus.
Der Vorteil, in der Offline-Analyse die für komplizierte Berechnungen und Vergleiche notwendigen Speicher- und Prozessor-Resourcen zu haben, macht TraceMagic zu einem am Markt einmaligen Werkzeug.
Nur TraceMagic hat (Stand: 2006) die Fähigkeit, Hunderte oder Tausende von Capture Files auszuwerten und die Befunde in umfassenden und lesbaren Berichten auszugeben.
Autor: Gerald Combs (und inzwischen viele andere mehr)
WireShark ging in April 2006 hervor aus dem vormaligen -> Ethereal.
WireShark ist ein Open-Source-Analyzer unter GNU-Lizenz. Er hat seit ca 2001/2002 enorm an Akzeptanz gewonnen, und seit ca 2004/2005 kann er in Kategorien der Protokoll-Dekodierung und Paket-Filterung mit vielen kommerziellen Analyzern gleichziehen (oder ist sogar besser).
Die kostenfreie Verfügbarkeit führt inzwischen zu einem Selbstverstärkungs-Effekt: Je mehr Anwender dieses Werkzeug kennen, um so mehr Anwender-Praxis fließt in die Entwicklung von WireShark hinein. Da viele kommerzielle Produkte schon seit langen Jahren an Praxis-Bezug verloren haben, übernimmt WireShark immer mehr die Funktion der am Markt allgemein anerkannten (und voraus gesetzten) Analyse-Plattform.
TShark ("TTY WireShark") ist die Kommandozeilen-Variante von WireShark. DumpCap enthält die Capture Engine von WireShark.
Während WIRESHARK.EXE das vollständige Analyzer-Programm samt GUI (Graphical User Interface) ist, stellt DUMPCAP.EXE lediglich ein Aufzeichnungs-Modul zur Verfügung, ohne Oberfläche, nur als Kommandozeilen-Tool aufrufbar (und daher geeignet für Scripts).
Aus der Sicht einer Messdaten-Auswertung durch TraceMagic spielt dieser Analyzer inzwischen eine zentrale Rolle, ebenso wie TcpDump.
Mit dem TraceCommander können mittels WireShark bzw. DumpCap Messdaten erzeugt werden, die geeignet sind zur späteren Auswertung durch TraceMagic.
.jpg)
