Los analizadores de hoy día pueden reproducir los contenidos directamente del tráfico que genera el usuario y así atacar problemas de desempeño o extraer evidencia inculpatoria.
Desde que comenzaron a proliferar las redes de datos a mitad de los años 80, se han desarrollado cualquier cantidad de herramientas que han buscado descubrir y cuantificar la problemática y las anomalías que se producen en el tráfico de datos, muchas de estas herramientas en principio fueron desarrolladas para brindar información estadística sobre los totales de utilización de ancho de banda, distribución de protocolos a nivel capas 2 y 3, mayores generadores de tráfico -“Top Talkers”-, broadcast, multicast, errores, etc.
De ese monitoreo estadístico que ofrecían los primeros analizadores se evolucionó a los sistemas expertos, donde el usuario podía definir y ajustar umbrales de detección de anomalías. Esto representó una nueva etapa para buscar soluciones a problemas derivados de fallas en cables, conectores, puertos dañados, altos volúmenes de colisiones, direcciones duplicadas, servidores o servicios saturados, retransmisiones excesivas, crosstalk, etc.
De manera paralela se comenzaron a desarrollar soluciones para realizar el análisis distribuido, en el que desde una consola central (Manager) se podían acceder analizadores -“probes”- en distintos puntos de la red, haciendo posible que el nivel de análisis y la correlación de problemas en una red corporativa se pudiera cuantificar en tiempo real en distintos puntos, incluso aquello en donde no podía haber presencia de un ingeniero de soporte. Esto también enriqueció a las plataformas tradicionales de administración vía SNMP de los primeros centros de monitoreo de redes.
La cobertura en cuanto a la conectividad ha ido evolucionando igualmente para estudiar el flujo del tráfico de paquetes en topologías variadas a nivel LAN (Ethernet, Token Ring, FDDI), y a nivel WAN y ATM con el apoyo de un middleware -“Pod”- entre la PC con el software de análisis y el conector físico en cuestión (G.703, V.35, RS-232, RS-449, SC, ST, etc.).
Hoy en día se encuentran disponibles para las redes multiservicios, donde existen muchos segmentos de red para analizar, soluciones que evitan que las conexiones de red se tengan que abrir periódicamente y con el fin de no afectar la disponibilidad de las comunicaciones se incorporan soluciones de hardware o taps que permiten introducir un analizador en puntos sensibles de la red sin necesidad de estar programando ventanas de mantenimiento. Estos taps también han servido para introducir detectores de intrusos o dispositivos de monitoreo de calidad de servicio sin representar latencia en el desempeño del ambiente de comunicaciones.
Además, los analizadores han evolucionado a dispositivos -“appliances”- con gran capacidad de almacenamiento y con la posibilidad de hacer un “análisis retrospectivo en el tiempo” para así reconstruir el tráfico que pudo haberse producido semanas e inclusive meses atrás. Así pues, esta herramienta le ha proporcionado a los analistas de desempeño y a los investigadores forenses una posibilidad adicional de regenerar eventos específicos como correos electrónicos con sus adjuntos, conversaciones de mensajería instantánea, reproducir llamadas de Telefonía IP o remontarse a la navegación de páginas web de un usuario extrayendo esta información directamente de los paquetes que se produjeron en su momento.
El análisis integral de hoy día se enfoca al servicio afectado y ya no al dispositivo que falla, de manera que la nueva generación de analizadores correlaciona en un mismo diagnóstico, por ejemplo, un evento específico dentro de la consulta a una base de datos con el “throughput” de un puerto específico en un ruteador y con el uso de CPU dentro de un servidor de autenticación.
Los analizadores de redes han evolucionado a analizadores de contenido y desempeño, y sus aplicaciones prácticas se han diversificado para brindar nuevas posibilidades de monitoreo y análisis y de integración o complementación con otras herramientas de administración de redes (NMS) en que se apoyan los profesionales de TI.
¿me podrian mandar mas informacion referente a la evolucion de los analizadores de trafico?
Gracias por contactarnos Manuel,
Este artículo lo elaboré con información que he acumulado en mi experiencia a través de los años, no todo está en un mismo lugar y el objetivo del articulo era crear un punto de referencia que considere no existía.
Te recomiendo visites las páginas de los siguientes fabricantes: Netscout, Fluke, Cisco (en la parte de Netflow), HP (Network Analyzer), las páginas de Ethereal y Wireshark. En varios de estos sitios hay documentos que narran cómo se fue evolucionando de las primeras herramientas hacia sus actuales ofrecimientos.
Sigo a tus órdenes para cualquier adicional y orientarte más si lo consideras necesario.