En dichas pruebas de captura de tráfico de red, decidimos instalar el Sniffer (WireShark) en los distintos servidores y estaciones de trabajo que deseábamos analizar. También habría sido posible utilizar la característica de Port Mirroring de los Switches de Red Ethernet (típico en switches como Cisco Catalyst, 3Com, SMC, etc.), pero decidimos no hacerlo así, para evitar dependencias con el personal del cliente (principalmente de agenda).
Una vez que empezamos las medidas, una de las pruebas que necesitábamos realizar implicaba la captura de gigabytes de tráfico de red, en unas máquinas que sólo disponían de 1GB de memoria RAM cada una, y al alcanzar un tamaño de 1GB de captura de red, empezaron a cargarse al 100% de CPU y después WireShark produjo un error (petó). Es decir, con WireShark (al menos con la versión 0.99.8 para Windows) no se debe realizar una captura de mayor tamaño que la memoria de la máquina en la que se está realizando dicha captura (o al menos no encontramos la forma, que el tiempo es un bien escaso). Al menos ésta versión de WireShark, parece que almacena la captura en memoria, siendo éste el motivo de dicho error.
A todo esto, en caso de estar monitorizando contadores de rendimiento, debe de tenerse en cuenta que en función de qué contadores (ej: % de CPU) estos pueden resultar alterados y falseados por la carga que implica la propia ejecución de WireShark.
Entre nuestras pruebas, teníamos la necesidad de medir el tráfico HTTP y HTTPS entre dos servidores, comunicados a través de una red enrutada, con el fin de obtener el consumo de Red en ambos sentidos (de subida y de bajada), tanto en bytes transferidos como el número de paquetes, y así poder obtener también el ancho de banda consumido y la velocidad de transferencia (Kbps). Sin embargo, intentamos obtener éste dato tanto con filtros (Display Filtres) y estadísticas (Statistics -> Summary), como a través de la opción de conversaciones (Statistics -> Conversations), y en todos los casos obtuvimos datos incorrectos (el tráfico que WireShark medía era mucho menor del dato que nos tenía que dar, y el tamaño del fichero de captura evidenciaba esta situación). Descargamos la última versión de WireShark (es decir, subimos de la versión 0.99.8 a la versión 1.0.0), y el resultado era el mismo. Investigando el contenido del fichero de captura, paquete a paquete, trama a trama, encontramos que el WireShark nos mostraba muchos paquetes sin direcciones IP (aunque se trataba de tráfico IP ¿?) que mostraban el mensaje “Bogus IP length (0, less than header length 20)”. Deducimos que dichos paquetes, al no mostrar direcciones IP (ni de origen ni de destino) podían ser la causa de nuestro problema. Para evidenciarlo, intentamos localizar otro Sniffer para abrir el fichero de captura y comprobar nuestra sorpresa. Y así fue. Descargamos e instalamos el Microsoft Network Monitor v3.1, abrimos el mismo fichero de captura (antes tuvimos que guardarlo con WireShark en el formato del Network Monitor), y localizamos el mismo paquete que habíamos localizado antes con WireShark (el del mensaje de Bogus IP). El Microsoft Network Monitor si nos mostraba las direcciones IP en el paquete Bogus IP, y además, se trataba de las direcciones IP por las que nos interesaba medir el tráfico, Genial ! Ahora parece que si salen las cuentas ! Sin embargo, aquí nos encontramos con un nuevo problema, porque con ésta versión del Network Monitor no encontramos forma (que no quiere decir, que no se pueda ;-) de obtener información estadística o resumida de dicho tráfico (es decir, que cuantos bytes y cuantos paquetes de tráfico para un determinado filtro).
Finalmente, la solución la encontramos por el factor suerte (omnipresente en todos los proyectos de consultoría). Al abrir el fichero de captura de WireShark con una versión anterior (en particular, con WireShark 0.99.4), con la opción de conversaciones (Statistics -> Conversations) obteníamos el dato que queríamos de forma correcta… Eureka !
Por último, para el que le interese los Analizadores de Protocolos de Red, existen más productos similares en el mercado, pero en general es WireShark el más completo, y además es gratis. Quizás la principal alternativa sea Fluke Protocol Expert, un software de la casa Fluke (los conocidos testers de red) de pago. Microsoft, también dispone del suyo, Microsoft Network Monitor v3.1, descargable de forma gratuita, como antes mencioné.
