Sniffer (protokollanalysator)

Sniffer
Originalförfattare
Harry Saal Len Shustek
Initial release december 1986
Skrivet i C, 8086 montör
Operativ system MS-DOS
Typ protokollanalysator

Sniffer var en datanätverkspaket- och protokollanalysator som utvecklades och såldes först 1986 av Network General Corporation i Mountain View, CA. År 1994 hade Sniffer blivit marknadsledare inom avancerade protokollanalysatorer. Enligt SEC 10-K-anmälningar och företagens årsrapporter såldes mellan 1986 och mars 1997 cirka 933 miljoner USD av Sniffers och relaterade produkter och tjänster som verktyg för nätverkshanterare och utvecklare.

Sniffer var föregångaren till flera generationer av nätverksprotokollanalysatorer, av vilka den för närvarande mest populära är Wireshark .

Sniffer historia

The Sniffer var den första produkten från Network General Corporation, grundad den 13 maj 1986 av Harry Saal och Len Shustek för att utveckla och marknadsföra nätverksprotokollanalysatorer. Inspirationen var ett internt testverktyg som hade utvecklats inom Nestar Systems, ett nätverksföretag för persondatorer som grundades i oktober 1978 av Saal och Shustek tillsammans med Jim Hinds och Nick Fortis. 1982 utvecklade ingenjörerna John Rowlands och Chris Reed vid Nestars brittiska dotterbolag Zynar Ltd en ARCNET promiskuös paketmottagare och analysator som heter TART (“Transmit and Receive Totaliser”) för användning som ett internt tekniskt testverktyg. Den använde anpassad hårdvara och mjukvara för en IBM PC skriven i en kombination av BASIC och 8086 monteringskod. När Nestar förvärvades av Digital Switch Corporation (nu DSC Communications) i Plano, Texas 1986, fick Saal och Shustek rättigheterna till TART.

På Network General sålde Saal och Shustek initialt TART som "R-4903 ARCNET Line Analyzer ('The Sniffer')". De omkonstruerade sedan TART för IBMs Token Ring- nätverkshårdvara, skapade ett annat användargränssnitt med programvara skriven i C och började sälja den som The Sniffer™ i december 1986. Företaget hade fyra anställda i slutet av det året.

I april 1987 släppte företaget en Ethernet-version av Sniffer, och i oktober versioner för ARCNET, StarLAN och IBM PC Network Broadband. Protokolltolkar skrevs för cirka 100 nätverksprotokoll på olika nivåer av protokollstacken, och kunderna fick möjlighet att skriva sina egna tolkar. Produktlinjen utökades gradvis till att inkludera Distributed Sniffer System för flera fjärrnätverkssegment, Expert Sniffer för avancerad problemdiagnos och Watchdog för enkel nätverksövervakning.

Företagshistoria

Mellan starten och slutet av 1988 sålde Network General Sniffers och tillhörande tjänster för 13,7 miljoner dollar. Finansiering tillhandahölls initialt endast av grundarna fram till en investering på 2 miljoner dollar av TA Associates i december 1987. Den 6 februari 1989 samlade företaget, som hade 29 anställda vid den tidpunkten, 22 miljoner dollar med ett offentligt aktieerbjudande på 1 900 000 aktier på NASDAQ som NETG. Den 3 augusti 1989 sålde de ytterligare 1 270 000 aktier i ett sekundäremission och den 7 april 1992 ytterligare 2 715 000 aktier i ett tredje erbjudande.

I december 1989 köpte Network General Legend Software, ett enmansföretag i New Jersey som hade grundats av Dan Hansen. Deras produkt var en nätverksmonitor som heter LAN Patrol, som förbättrades, ändrades till varumärket och såldes av Network General som WatchDog.

1995 hade Network General sålt Sniffer-relaterade produkter för totalt 631 miljoner USD med en genomsnittlig bruttomarginal på 77%. Den hade nästan 1000 anställda och sålde cirka 1000 Sniffers i månaden.

I december 1997 gick Network General samman med McAfee Associates (MCAF) för att bilda Network Associates, i en aktiebytesaffär värd 1,3 miljarder dollar. Veckor senare köpte Network Associates Pretty Good Privacy , Inc. ("PGP"), krypteringsföretaget som grundades 1991 av Phil Zimmerman , för 35 miljoner dollar i kontanter. Saal och Shustek lämnade företaget kort därefter.

2002 såldes mycket av PGP-produktlinjen till det nybildade PGP Corporation för ett ej avslöjat belopp. Det förvärvades sedan av Symantec 2010.

I mitten av 2004 sålde Network Associates Sniffers teknologiverksamhet till investerare ledda av Silver Lake Partners och Texas Pacific Group för 275 miljoner dollar i kontanter, vilket skapade ett nytt Network General Corporation. Samma år återupptog Network Associates sin grundares namn och blev McAfee Inc. I september 2007 förvärvades den nya Network General av NetScout Systems för 205 miljoner dollar. Netscout marknadsförde "Sniffer Portable" 2013, och 2018 sålde de sin verksamhet för handhållna nätverkstestverktyg, inklusive Sniffer, till StoneCalibre .

Immateriella rättigheter

Network General, före fusionen med McAfee, hade inga patent på Sniffer. Källkoden och en del av hårdvarudesignerna skyddades av affärshemligheter. Det mesta av det förvärvades så småningom av NetScout i 2007 års förvärv.

Network General Corporation ansökte om ett varumärke för "Sniffer" som användes i samband med "analys och testning av digital trafik i lokala nätverk" den 30 maj 1989. Det godkändes och registrerades den 28 maj 1991. Network General skyddade dess användning med till exempel en helsidesannons i Wall Street Journal den 4 oktober 1995. Från och med 2021 är den varumärkesregistreringen fortfarande aktiv och ägs nu av NetScout Systems Inc. Network General ägde också varumärkena till "Expert Sniffer ”, ”TeleSniffer” och ”Distribuerat sniffersystem”, som alla har upphört att gälla.

IBM PC ARCNET Sniffer-kort

Den ursprungliga Nestar ARCNET Sniffer

ARCNET Sniffer utvecklat som ett internt testverktyg av Zynar använde IBM PC ARCNET Network Interface Card utvecklat av Nestar för PLAN-nätverkssystem. Det kortet använde den integrerade ARCNET-styrenheten COM9026 från Standard Microsystems Corporation , som hade utvecklats i samarbete med Datapoint.

Det fanns inget promiskuöst läge i SMC-chippet som skulle tillåta alla paket att tas emot oavsett destinationsadress. Så för att skapa Sniffer utvecklades ett dotterkort som snappade upp mottagardatalinjen till chippet och manipulerade data så att varje paket såg ut som en sändning och togs emot av chippet.

IBM PC ARCNET Sniffer dotterkortsmodul

Eftersom möjligheten att ta emot alla paket sågs som en kränkning av nätverkets integritet, hölls kretsen som implementerade det hemlig och dotterkortet var ingjutet i svart epoxi för att motverka omvänd konstruktion.

Källkoden för det ursprungliga TART/Sniffer BASIC och assemblerprogrammet är tillgänglig på GitHub.

The 1986 Network General Sniffer

Token-Ring Sniffer, 1986

Sniffer var en promiskuös paketmottagare, vilket betyder att den fick en kopia av alla nätverkspaket utan hänsyn till vilken dator de var adresserade till. Paketen filtrerades, analyserades med vad som nu ibland kallas Deep Packet Inspection och lagrades för senare undersökning.

Sniffer implementerades ovanför Microsofts MS-DOS- operativsystem och använde en 40 rader 80-teckens textskärm. Den första versionen, PA-400-protokollanalysatorn för Token-Ring-nätverk, släpptes på en Compaq Portable II "luggbar" dator som hade en Intel 80286-processor, 640 KB RAM, en 20 MB intern hårddisk, en 5 ¼" diskettenhet och en 9-tums monokrom CRT-skärm. Detaljpriset för Sniffer i enhetskvantiteter var $19 995

Sniffer dataflöde

De två huvudsakliga driftsätten var:

  • "fånga", i vilken
    • paket fångas, lagras, räknas och sammanfattas
    • filter styr vilka paket som fångas upp
    • utlöser kontroll när infångningen ska stoppas, kanske för att ett eftersökt nätverksfelstillstånd hade inträffat
  • "display", i vilken
    • paket analyseras och tolkas
    • filter styr vilka paket som visas
    • alternativ styr vilka aspekter av paketen som visas

Navigering av det omfattande menysystemet på teckenlägesdisplayen skedde genom en variant av Miller Columns som ursprungligen skapades av Mark S Miller Datapoint Corporation för deras filläsare. Som Sniffer-manualen beskrev, "Skärmen visar dig tre paneler, arrangerade från vänster till höger. Omedelbart till vänster om din nuvarande (markerade) position är noden du just kom ifrån. Ovanför och under dig i mittpanelen finns alternativa noder som också kan nås från noden till vänster... Till höger finns noder som du kan nå från noden du nu befinner dig på."

Sniffer-menynavigering

Genom att trycka på F10 startade fångst och en realtidsvisning av aktivitet.

Exempel på snifferskärm under paketfångst

När insamlingen avslutades analyserades och visades paket i ett eller flera av de tre synkroniserade vertikala fönster som nu är standard: sammanfattning av flera paket, avkodad detalj av ett paket och rå numerisk paketdata. Markering länkade de valda objekten i varje fönster.

I sammanfattningen av flera paket var standardvisningen av information på den högsta nivån av protokollstacken som fanns i det paketet. Andra skärmar kan begäras med hjälp av menyn "visningsalternativ".

Översättningen av data på en viss nivå av nätverksprotokollstacken till användarvänlig text var jobbet för en "protokolltolkare", eller PI. Network General tillhandahöll över 100 PI:s för dagens vanliga protokoll:

  • 3COM 3+
  • AppleTalk ADSP
  • AppleTalk AFP
  • AppleTalk ARP
  • AppleTalk ASP
  • AppleTalk ATP
  • AppleTalk DDP
  • AppleTalk ECHO
  • AppleTalk KSP
  • AppleTalk LAP
  • AppleTalk NBP
  • AppleTalk PAP
  • AppleTalk RTMP
  • AppleTalk ZIP
  • ARP
  • AT&T
  • Banyan VINES AFRP
  • Banyan VINES Echo
  • Banyan VINES fil Svc
  • Banyan VINES FRP
  • Banyan VINES FTP
  • Banyan VINES IP
  • Banyan VINES LLC
  • Banyan VINES Loopback
  • Banyan VINES Matchmaker
  • Banyan VINES Ntwk Mgr
  • Banyan VINES SPP
  • Banyan VINES StreetTalk
  • Banyan VINES Svr Svc
  • Banyan VINES Talk
  • BOOTP
  • Bro bro mgmt
  • Brygga CS-1
  • Broterminal srvr
  • Chaosnet
  • ComDesign
  • Cronus direkt
  • Cronus VLN
  • Datapoint DLL
  • Datapunkt RCL
  • Datapunkt RIO
  • Datapunkt RMS
  • DEC 911
  • DEC bro mgmt
  • DEC LAN-monitor
  • DECERA SISTA
  • DEC LAVC
  • DEC NetBIOS
  • DECNET CTERM
  • DECNET DAP
  • DECNET DRP
  • DECNET HITTAT
  • DECNET LAT
  • DECNET LAVC
  • DECNET MOPPA
  • DECNET SNYGGT
  • DECNET NSP
  • DECNET SCP
  • DNS
  • ECMA internet
  • EGP
  • Excelan
  • FTP
  • GGP
  • IBM SMB
  • IBM SNA
  • ICMP
  • IONET VCS
  • IONET VCS CMND
  • IONET VCS DATA
  • IONET VCS TRANS
  • IP
  • ISO ACSE
  • ISO ASN.1
  • ISO CMIP
  • ISO nätverk
  • ISO PPP
  • ISO ROSE
  • ISO-session
  • ISO SMTP
  • ISO Transport
  • SLINGA
  • Loopback
  • Micom test
  • NBS internet
  • Nestar ARCnet
  • Nestar PlanSeries
  • NetBIOS
  • NetBIOS TCP
  • Novell Netware
  • PUP-adressöversättning
  • RPL
  • RUnix
  • SMTP
  • KNÄPPA
  • Sol MOUNT
  • Sun NFS
  • Sön PMAP
  • Sun RPC
  • Sön RSTAT
  • Sön YP
  • Symbolik privat
  • TCP
  • Telnet
  • TFTP
  • TRING DLC
  • TRING LLC
  • TRING MAC
  • TRING RI
  • DU ÄR
  • Vitalink bridge mgmt
  • X.25
  • X.25 nivå 3
  • X.75 internet
  • Xerox BOOTP
  • Xerox EGP
  • Xerox GGP
  • Xerox ND
  • Xerox PUP
  • Xerox PUP ARP
  • Xerox RIP
  • Xerox TFTP
  • Xerox XNS
  • Xyplex

Avkodning av högre protokollnivåer krävde ofta att tolken upprätthöll tillståndsinformation om anslutningar så att efterföljande paket kunde egendomtolkas. Det implementerades med en kombination av lokalt cachad data i protokolltolkaren och möjligheten att se tillbaka på tidigare paket lagrade i infångningsbufferten.

Sniffer-kunder kunde skriva sina egna protokolltolkar för att avkoda nya eller sällsynta protokoll som inte stöds av Network General. Tolkar skrevs i C och länkades till resten av Sniffer-modulerna för att skapa ett nytt körbart program. Proceduren för att skapa nya PI:er dokumenterades i april 1987 som en del av Sniffer version 1.20.

Förutom att stödja många nätverksprotokoll, fanns det versioner av Sniffer som samlade in data från de stora lokala nätverken som användes under 1980-talet och början av 1990-talet:

Konkurrenter

Även under de första åren hade Sniffer konkurrens, åtminstone för vissa aspekter av produkten. Flera var, som Sniffer, färdiga förpackade instrument:

  • Excelans nötknäppare från 1984 och dess LANalyzer från 1986
  • Communications Machinery Corporations DRN-1700 LanScan Ethernet Monitor
  • Hewlett-Packards HP-4972A LAN Protocol Analyzer
  • Digital Equipment Corporations LAN Traffic Monitor
  • Tektronix TMA802 Media Analyzer

Det fanns också flera programvarupaketövervakare och -avkodare, ofta körda på Unix, och ofta med endast ett kommandoradsgränssnitt:

Se även