Làm việc với Network Monitor (Phần 1)
Để tìm hiểu vấn đề này bạn cần phải hiểu sự khác nhau giữa hub và switch. Khi
các máy tính nối mạng được kết nối tới một hub thì tất cả các máy tính nằm
trong một miền xung đột chung. Điều này có nghĩa là khi một máy tính truyền đi
một gói dữ liệu thì các máy tính khác trên đoạn mạng đều có thể thấy được gói
này. Mỗi máy tính sẽ kiểm tra địa chỉ MAC đích đến của gói để xem nó có phải
nhận gói dữ liệu đó hay bỏ qua.
Vấn đề nảy sinh trong sử dụng hub là nếu hai máy tính cùng truyền đi gói dữ liệu
đồng thời thì một xung đột sẽ xuất hiện, các gói sẽ bị phá hủy và phải được
truyền lại. Chính vì vậy các mạng được xây dựng trên hub có hiệu suất thấp.
Hầu hết mạng hiện đại ngày nay đều được thiết kế bằng switch. Khi máy tính
trên mạng này phát đi một gói thì switch sẽ xem địa chỉ MAC của máy nhận và
sau đó gửi gói tin này trực tiếp đến máy nhận. Cách làm này đã khắc phục được
hiện tượng như ở mạng hub là các máy tính không phải xem gói tin gửi đi này.
Bằng sử dụng switch thay cho hub chúng ta đã cải thiện đáng kể hiệu quả mạng
và tính bảo mật, tuy nhiên nó cũng hạn chế những gì có thể thực hiện với bộ
phân tích giao thức. Như được giới thiệu, phiên bản đầy đủ của Network Monitor
có thể phân tích tất cả lưu lượng trên toàn đoạn mạng. Vấn đề xuất hiện ở đây là
switch tạo một đoạn logic chỉ gồm có người gửi và người nhận. Vì vậy trên các
mạng dùng switch, phiên bản đầy đủ của Network Monitor cũng có những hạn
chế như phiên bản Basic. Tuy vậy, Network Monitor vẫn là một công cụ xử lý sự
cố tuyệt vời và cũng tốt cho việc tăng hiểu biết về mạng của bạn. Để sử dụng
Network Monitor một cách có hiệu quả bạn cần phải bảo đảm và chạy nó trực
tiếp trên các máy tính mà bạn đang khắc phục sự cố.
Tóm tắt nội dung tài liệu: Làm việc với Network Monitor (Phần 1)
Simpo PDF Merge and Split Unregistered Version - Làm việc với Network Monitor (Phần 1) Nguồn : quantrimang.com Brien M. Posey Mặc dù một mạng máy tính khá là tin cậy thì đôi khi vẫn có các vấn đề xuất hiện. Ví dụ, một mạng nào đó có thể bị chậm đi so với khả năng của nó hoặc một thiết bị trên mạng này có thể gặp phải vấn đề trong việc truyền thông với thiết bị khác. Trong các tình huống như vậy, một công cụ phân tích thường cần được sử dụng. Trong bài này, chúng tôi sẽ giới thiệu cho các bạn cách cài đặt và sử dụng một công cụ phân tích miễn phí có tên Network Monitor. Để có được Network Monitor Nói một cách chính xác thì Network Monitor không hoàn toàn miễn phí. Tuy nhiên nó có thể được coi là miễn phí bởi vì nó được gộp vào trong sản phẩm khác của Microsoft, trong Windows Server 2003. Có hai phiên bản khác nhau của Network Monitor; phiên bản Basic và phiên bản đầy đủ. Phiên bản Basic có trong Windows Server 2003, còn phiên bản đầy đủ được dành cho SMS Server. Cả hai phiên bản đều cho phép phân tích được lưu lượng mạng, tuy nhiên vẫn có một số sự khác nhau giữa hai phiên bản. Bảng dưới đây sẽ đưa ra các điểm khác nhau này. Đặc điểm Phiên bản Basic Phiên bản Full Chỉ các gói capture Lưu lượng capture Packet Capturing được gửi đến và đi từ từ toàn bộ đoạn host nội bộ mạng Capture Remote Không được hỗ trợ Được hỗ trợ Frames Xem sự tiêu hao băng Không được hỗ trợ Được hỗ trợ tần bởi giao thức Xem sự tiêu hao băng Không được hỗ trợ Được hỗ trợ tần bởi người dùng Thay đổi và phát lại lưu Không được hỗ trợ Được hỗ trợ lượng mạng Sự khác nhau giữa các Không được hỗ trợ Được hỗ trợ router và Network Host Simpo PDF Merge and Split Unregistered Version - Giải quyết các tên thiết Không được hỗ trợ Được hỗ trợ bị trong địa chỉ MAC Như những gì đã thấy trong bảng trên, có nhiều khác nhau giữa hai phiên bản Network Monitor. Sự khác nhau lớn nhất là phiên bản Basic chỉ có khả năng phân tích được lưu lượng gửi đi hoặc đến từ máy tính đang sử dụng Network Monitor, trong khi đó phiên bản đầy đủ có thể phân tích tất cả các luồng lưu lượng trên cả đoạn mạng. Lúc đầu sự khác nhau này dường như rất lớn nhưng hai phiên bản này không giống nhau như bạn nghĩ. Để tìm hiểu vấn đề này bạn cần phải hiểu sự khác nhau giữa hub và switch. Khi các máy tính nối mạng được kết nối tới một hub thì tất cả các máy tính nằm trong một miền xung đột chung. Điều này có nghĩa là khi một máy tính truyền đi một gói dữ liệu thì các máy tính khác trên đoạn mạng đều có thể thấy được gói này. Mỗi máy tính sẽ kiểm tra địa chỉ MAC đích đến của gói để xem nó có phải nhận gói dữ liệu đó hay bỏ qua. Vấn đề nảy sinh trong sử dụng hub là nếu hai máy tính cùng truyền đi gói dữ liệu đồng thời thì một xung đột sẽ xuất hiện, các gói sẽ bị phá hủy và phải được truyền lại. Chính vì vậy các mạng được xây dựng trên hub có hiệu suất thấp. Hầu hết mạng hiện đại ngày nay đều được thiết kế bằng switch. Khi máy tính trên mạng này phát đi một gói thì switch sẽ xem địa chỉ MAC của máy nhận và sau đó gửi gói tin này trực tiếp đến máy nhận. Cách làm này đã khắc phục được hiện tượng như ở mạng hub là các máy tính không phải xem gói tin gửi đi này. Bằng sử dụng switch thay cho hub chúng ta đã cải thiện đáng kể hiệu quả mạng và tính bảo mật, tuy nhiên nó cũng hạn chế những gì có thể thực hiện với bộ phân tích giao thức. Như được giới thiệu, phiên bản đầy đủ của Network Monitor có thể phân tích tất cả lưu lượng trên toàn đoạn mạng. Vấn đề xuất hiện ở đây là switch tạo một đoạn logic chỉ gồm có người gửi và người nhận. Vì vậy trên các mạng dùng switch, phiên bản đầy đủ của Network Monitor cũng có những hạn chế như phiên bản Basic. Tuy vậy, Network Monitor vẫn là một công cụ xử lý sự cố tuyệt vời và cũng tốt cho việc tăng hiểu biết về mạng của bạn. Để sử dụng Network Monitor một cách có hiệu quả bạn cần phải bảo đảm và chạy nó trực tiếp trên các máy tính mà bạn đang khắc phục sự cố. Cài đặt phiên bản Basic Phiên bản Basic của Network Monitor có trong Windows Server 2003. Do vậy để cài đặt nó bạn chỉ cần chọn Add / Remove Programs từ Control Panel của máy chủ. Khi bạn thực hiện như vậy, Windows sẽ hiển thị cửa sổ các chương trình Add / Remove. Kích vào nút Add / Remove Windows Components và đợi một Simpo PDF Merge and Split Unregistered Version - chút Windows sẽ khởi chạy Windows Components Wizard. Tìm trong các thành phần có sẵn tùy chọn Management and Monitoring Tools. Chọn Management and Monitoring (không chọn hộp kiểm), kích nút Details. Windows sẽ hiển thị một danh sách các công cụ quản lý và kiểm tra khác nhau. Chọn hộp kiểm Network Monitor Tools và kích OK. Giờ bạn kích Next và theo các gợi ý để hoàn tất quá trình cài đặt. Phụ thuộc vào cách máy chủ được cấu hình như thế nào bạn có thể được yêu cầu để cung cấp đĩa cài đặt Windows Server 2003. Cài đặt phiên bản đầy đủ - Full Cài đặt phiên bản đầy đủ của Network Monitor thực sự dễ dàng. Để thực hiện cài đặt bạn chỉ cần đưa đĩa cài SMS Server 2003 vào ổ CD và điều hướng thông qua cấu trúc thư mục của CD đến \NETMON\I386. Lúc đó kích đúp file NETMONSETUP.EXE để khởi động wizard cài đặt. Kích Next để qua màn hình Welcome screen của wizard, màn hình sẽ hiển thị thỏa thuận về đăng ký của người dùng. Sau khi chấp nhận thỏa thuận đăng ký, kích Next, wizard sẽ hiển thị không gian đĩa yêu cầu cho việc cài đặt và các không gian đĩa đang có trên máy. Sau khi bảo đảm có đủ không gian đĩa trống cho việc cài đặt bạn kích Next, khi đó Network Monitor sẽ tự động quá trình cài đặt của nó. Kích Finish để hoàn thiện quá trình cài đặt. Network Monitor Agent Network Monitor được thiết kế chủ yếu để kiểm tra lưu lượng mạng vào/ra đối với một máy tính đang chạy nó (ngoại trừ phiên bản Full cho phép kiểm tra toàn bộ đoạn mạng). Đôi khi bạn lại cần phải thực hiện phân tích chi tiết về lưu lượng mạng liên quan đến máy tính khác hơn là với chính máy tính đang chạy công cụ kiểm tra này. Trong trường hợp như vậy, bạn nên cài đặt Network Monitor Agent (công cụ này cũng được biết đến như Network Monitor driver) vào máy tính mà bạn muốn kiểm tra. Network Monitor driver sẽ được cài đặt tự động khi Network Monitor được cài đặt. Ví dụ nếu trên máy tính bạn cần kiểm tra không cài đặt Network Monitor thì Network Monitor driver phải được cài đặt thủ công. Network Monitor driver có thể tương thích với Windows XP và Windows Server 2003. Để cài đặt Network Monitor Driver trên máy tính đang chạy hệ điều hành Windows XP, bạn mở Control Panel, kích vào liên kết Network and Internet Connections, sau đó là liên kết Network Connections. Lúc này bạn kích chuột phải vào kết nối mạng tương ứng với NIC mà bạn muốn kiểm tra và chọn Properties từ menu chuột phải. Khi cửa sổ thuộc tính của kết nối này xuất hiện, kích nút Install, ở đây bạn sẽ được hỏi xem có muốn cài đặt Client, Service, hay Simpo PDF Merge and Split Unregistered Version - Protocol. Chọn tùy chọn Protocol và kích nút Add. Cuối cùng chọn Network Monitor Driver từ danh sách các giao thức có sẵn sau đó kích OK. Bạn có thể được nhắc để cung cấp đĩa cài đặt Windows. Kết luận Trong phần 1 này, chúng tôi đã giới thiệu cho bạn công cụ Network Monitor, một công cụ tuyệt vời dùng để kiểm tra các vấn đề về mạng. Trong bài cũng đưa ra sự khác nhau giữa hai phiên bản của công cụ này và cuối cùng là đi sâu vào quá trình cài đặt nó. Trong phần 2 chúng tôi sẽ giới thiệu cho các bạn về cách sử dụng Network Monitor như thế nào, mời các bạn tiếp tục theo dõi trong phần hai. Simpo PDF Merge and Split Unregistered Version - Làm việc với Network Monitor (Phần 2) Nguồn : quantrimang.com Brien M. Posey Trong phần thứ nhất chúng tôi đã giới thiệu về sự khác nhau giữa các phiên bản của Network Monitor và quá trình cài đặt nó. Phần hai này sẽ tiếp tục thảo luận bằng cách giới thiệu về cách sử dụng công cụ thú vị này. Như những gì đã giới thiệu trong phần 1, có hai phiên bản khác nhau của công cụ Network Monitor. Đối với mục đích của bài này chúng tôi sử dụng phiên bản đầy đủ (Full) cùng với SMS Server 2003 Service Pack 1. Giao diện Network Monitor Khi khởi chạy Network Monitor, thứ đầu tiên bạn thấy là một thông báo yêu cầu lựa chọn giao diện mạng mà bạn muốn capture dữ liệu. Đây là bước quan trọng bởi vì nếu bỏ mặc lựa chọn giao diện thì Network Monitor sẽ nhặt lấy một giao diện tùy ý và giao diện này có thể không phải là giao diện mà bạn muốn có. Kích OK bạn sẽ vào được màn hình giống như hình A dưới đây. Đơn giản hãy chọn giao diện mạng mà bạn muốn sử dụng sau đó kích OK. Hình A: Lựa chọn giao diện mạng mà bạn muốn kiểm tra. Ở đây, Network Monitor sẽ hiển thị màn hình capture chính, được thể hiện trong hình B.Ttrước khi giới thiệu cho bạn cách sử dụng màn hình này chúng tôi muốn đề cập rằng Network Monitor chỉ gợi ý chọn mạng mà bạn muốn kiểm tra khi lần đầu sử dụng nó. Nếu máy tính của bạn chỉ có một adapter mạng thì điều này sẽ không có vấn đề gì. Nếu hệ thống có nhiều đoạn mạng thì bạn có thể kiểm tra Simpo PDF Merge and Split Unregistered Version - lưu lượng của tất cả các đoạn mạng đó. Hình B: Màn hình capture của Network Monitor Một nhược điểm ở đây là bạn không thể kiểm tra lưu lượng qua các đoạn mạng một cách đồng thời, nhưng có thể chuyển các đoạn mạng ngay cho dù Network Monitor không tự động gợi ý về đoạn mạng mà bạn muốn kiểm tra. Để thực hiện điều đó, bạn chỉ cần chọn lệnh Networks từ menu Capture. Lúc này bạn sẽ gặp màn hình giống như trong hình A. Sự khác nhau lớn nhất giữa hai màn hình này là màn hình sau có tùy chọn Remote mà bạn có thể sử dụng cho việc capture các gói dữ liệu từ xa. Hãy quan sát một chút trong màn hình capture. Như những gì bạn có thể thấy trong hình, màn hình này có 4 panel khác nhau. Panel ở phần trên trái của cửa sổ là panel biểu đồ. Panel biểu đồ sẽ hiển thị mức hành động hiện hành bằng đồ học trong suốt quá trình capture. Nó gồm các biểu đồ hiển thị phần trăm sử dụng mạng, số khung được capture, số byte được capture, số broadcast và multicast trên mỗi giây. Bạn có thể thấy trong hình có một thanh cuộn liên quan đến panel biểu đồ. Thanh cuộn này dễ bị nhầm lẫn bởi vì không có biểu đồ nào ngoại trừ những cái được thể hiện trong hình. Dưới panel biểu đồ là phần panel thống kê session. Panel này được thiết kế để hiển thị tổng số lưu lượng đã được capture. Phần này hiển thị các thứ giống như các địa chỉ mạng của host có liên quan đến trong một tình huống, địa chỉ được Simpo PDF Merge and Split Unregistered Version - host khởi tạo cho tình huống này. Phần dưới của màn hình gồm có panel thống kê session. Panel này hiển thị toàn bộ thông tin capture. Địa chỉ mạng của mỗi host cũng được hiển thị cùng với số khung được gửi/nhận, số byte gửi/nhận và số khung, multicast và broadcast có hướng được gửi đi. Phần bên phải trên của cửa sổ là panel thống kê toàn bộ. Như tên ngụ ý, panel này hiển thị các thống kê liên quan đến tất cả lưu lượng mạng đã được capture trọn vẹn. Panel này hiển thị các kiểu thông tin tương tự như thông tin trên panel khác đã được đề cập đến, tuy nhiên chỉ có một sự khác nhau nhỏ đó là nó không giảm các thống kê trên mỗi host cơ bản. Capture lưu lượng mạng Bây giờ tôi sẽ thao tác trong giao diện này, chúng ta sẽ thực hiện việc capture lưu lượng mạng. Nếu nhìn vào hình B thì bạn sẽ thấy thanh công cụ ở trên panel biểu đồ. Thanh công cụ này được sử dụng để điều khiển quá trình capturre. Các nút liên quan đến việc capture trên thanh công cụ này được liệt kê dưới đây: • Capture Data – Capture dữ liệu • Pause the capture or resume a paused capture – Tạm dừng capture hay tiếp tục lại capturre đã tạm dừng • Stop the capture process – Dừng hẳn quá trình capture. • Stop the capture and view the captured data – Dừng capture và xem dữ liệu đã capture • View the captured data – Xem dữ liệu đã capture • Help – Trợ giúp Để capture dữ liệu bằng Network Monitor, bạn hãy kích nút Capture Data. Network Monitor sẽ bắt đầu quá việc capture dữ liệu và sẽ không dừng cho tới khi dừng hẳn hay tạm dừng. Quá trình capture dữ liệu giống như những gì bạn thấy trong hình C. Simpo PDF Merge and Split Unregistered Version - Hình C: Giao diện Network Monitor khi đang capture dữ liệu Như những gì thấy trong hình, nó gồm có rất nhiều các thống kê, nhưng không có dữ liệu thực. Nếu muốn xem dữ liệu đã được capture thì bạn sẽ phải kích vào nút View Data trên thanh công cụ. Bằng cách đó bạn sẽ thấy được màn hình giống như hình D. Hình D: Dữ liệu đã được capture Simpo PDF Merge and Split Unregistered Version - Nếu quan sát kỹ hơn về dữ liệu đã được capture thì bạn sẽ thấy những gì Network Monitor đang hiển thị là toàn bộ các khung riêng lẻ đã được capture. Màn hình này liệt kê số khung, thời gian mà khung đó được capture, địa chỉ nguồn và địa chỉ đích, các giao thức được sử dụng nhưng không hiển thị dữ liệu trong khung. Tuy nhiên có một cách dễ dàng để xem được các thông tin chi tiết hơn. Nếu nhìn vào thanh công cụ bạn sẽ thấy có 3 nút có 3 hình chữ nhật: Các nút này cho phép bạn chuyển tới và lui trong các panel chi tiết, tổng thể và panel hệ đếm 16. Khi tất cả 3 panel này đều được kích hoạt thì bạn có thể xem toàn bộ về các khung đã chọn như trong hình E. Hình E: 3 panel cho thấy được toàn bộ thông tin liên quan đến các khung đã được chọn. Như những gì bạn thấy trong hình, panel Details hiển thị thông tin giao thức cho khung được chọn hiện hành. Khi một khung có nhiều giao thức thì giao thức bên ngoài cùng được liệt kê đầu tiên. Panel hệ đếm 16 hiển thị dữ liệu thực của khung. Lưu ý trong hình là chỉ một phần của khung được chọn trong panel Details. Phần được chọn này sẽ được tô đậm trong panel hệ đếm 16 để giúp bạn cách ly dữ liệu. Kết luận Trong phần hai này chúng tôi đã giới thiệu cho bạn các vấn đề cơ bản trong việc Simpo PDF Merge and Split Unregistered Version - sử dụng công cụ Network Monitor. Trong phần 3 chúng tôi sẽ tiếp tục giới thiệu một capture mẫu đơn giản để hướng dẫn bạn cách phân tích dữ liệu đã capturre. Simpo PDF Merge and Split Unregistered Version - Làm việc với Network Monitor (Phần 3) Nguồn : quantrimang.com Brien M. Posey Trong hai phần trước chúng tôi đã giới thiệu cho các bạn một số kỹ thuật cơ bản về capture dữ liệu bằng Network Monitor. Phần 3 này sẽ tiếp tục giới thiệu cách phân tích dữ liệu mà bạn đã capture được. Với mục đích đơn giản, chúng ta thực hiện thao tác ping đơn giản. Để thực hiện điều đó bạn phải đăng nhập vào máy chủ mà bạn sẽ chạy Network Monitor, mở cửa sổ lệnh. Khi cửa sổ lệnh đã mở, đánh lệnh “PING”, sau đó là một dấu cách và tên miền đầy đủ hoặc một địa chỉ IP của máy tính trong mạng, nhưng bạn vẫn chưa nhấn phím Enter lúc này. Mở Network Monitor và chọn lệnh Start từ menu Capture. Ngay lúc đó chuyển sang cửa sổ lệnh và nhấn Enter để thực thi lệnh ping. Lệnh này sẽ trả về các kết qu ... ích OK. Trong trường hợp riêng này, tất cả mọi thứ đều rất đơn giản. Bạn sẽ thấy được trong hình này có rất nhiều địa chỉ IP có liên quan đến máy tính thử nghiệm. Điều đó là vì máy tính này là một máy chủ Web và đang quản lý nhiều website, mỗi một website lại có một địa chỉ riêng. Trong tình huống tương tự, bạn nên chọn địa chỉ chính của máy tính trừ khi có một lý do riêng để sử dụng một trong các địa chỉ còn lại. Một thứ khác ở đây làm cho màn hình hiển thị hơi khó hiểu một chút là địa của chỉ máy đích không được hiển thị. Bạn có thể cố sửa điều này bằng cách kích nút Edit Addresses. Khi đó sẽ thấy được một danh sách tất cả các địa chỉ từ danh sách trước đó. Kích vào nút Add bạn sẽ có cơ hội thêm một địa chỉ vào danh sách. Lưu ý trong hình E là phải chọn kiểu địa chỉ (IP hoặc MAC) mà bạn muốn bổ sung. Kích OK, sau đó là Close, địa chỉ sẽ được thêm vào bộ lọc địa chỉ. Simpo PDF Merge and Split Unregistered Version - Hình E: Thêm địa chỉ vào danh sách Bây giờ bạn chọn các địa chỉ IP có liên quan đến tình huống đã quan tâm, sau đó kích OK hai lần. Danh sách các khung đã được capture hiện đã được lọc chỉ hiển thị lưu lượng từ các máy tính được chọn, như hình F. Hình F: Danh sách dữ liệu đã được capture chỉ hiển thị các khung mà chúng ta quan tâm Khi việc capture của chúng ta chỉ liên quan đến lệnh PING thì bạn hoàn toàn sẽ không bị bất cứ vấn đề gì về việc định vị dữ liệu mà bạn đang tìm kiếm. Trong thế giới thực, đôi khi xảy ra tình huống dữ liệu mà bạn đang cố gắng capture có thể không tồn tại bên trong capture. Có hai điều kiện chính có thể gây ra điều này. Thứ nhất, tại sao file capture của bạn có thể không có dữ liệu mà bạn quan Simpo PDF Merge and Split Unregistered Version - tâm là bởi vì hầu hết các công ty đều chuyển từ sử dụng hub sang switch. Trên mạng có sử dụng hub, mỗi máy tính trên hub nhận cùng một lưu lượng dữ liệu. Khi máy tính cần truyền thông với một máy tính khác nó sẽ đặt một gói dữ liệu lên dây và gói dữ liệu này sẽ được luân chuyển đến các máy tính khác có gắn với hub. Máy tính nhận gói dữ liệu phân biệt gói dữ liệu này bằng cách quan sát header của mỗi gói, kiểm tra xem đó có phải là gói được gửi cho mình không. Nếu địa chỉ đích tương ứng với địa chỉ MAC của máy tính đó thì máy này sẽ mở gói dữ liệu và tiếp đó là nội dung của nó. Còn trường hợp ngược lại thì nó sẽ bỏ qua. Với mạng sử dụng switch thì lại khác. Khi một máy tính gửi đi một gói dữ liệu thì switch quan sát header của gói để xác định máy tính nào sẽ nhận gói. Sau đó nó sẽ chuyển tiếp gói tin này đến cổng switch mà máy tính nhận kết nối đến. Các máy tính khác hoàn toàn không biết đến gói dữ liệu này. Lý do tại sao các switch lại thay thế hub là bởi vì chúng cho hiệu quả cao hơn và an toàn hơn. Nếu một hub được sử dụng cho hai máy tính đang muốn gửi dữ liệu cùng một lúc thì một xung đột sẽ xuất hiện và cả hai gói dữ liệu trong quá trình này đều bị phá hủy. Hai máy tính đó lại phải đợi một khoảng thời gian ngẫu nhiên để phát lại dữ liệu đã bị xung đột đó. Nếu có nhiều máy tính hơn thì số lần xung đột xảy ra nhiều hơn và như vậy kéo theo hiệu xuất mạng thấp. Đó chính là lý do làm cho các công ty chuyển dần sang dùng switch thay cho hub. Các Switch lại khó khăn cho việc capture dữ liệu với Network Monitor. Lý do ở đây là với cách các switch làm việc bạn chỉ có thể capture được dữ liệu đã gửi đi hoặc từ máy tính khác đến máy tính có Network Monitor đang chạy trên nó. Điều kiện khác có thể làm cho các gói mong muốn không được capture là sử dụng các máy tính ảo. Nếu một máy chủ đơn cấu hình lên nhiều máy ảo thì lưu lượng vào các máy tính ảo đó sẽ có thể không được capture bởi vì lưu lượng giữa các máy tính ảo đã được cấu hình bởi một máy chủ riêng mà không có dây dẫn. Tuy nhiên bạn cũng có thể cấu hình các máy tính ảo để lưu lượng giữa chúng rơi vào mạng nhưng điều đó năm ngoài phạm vi của bài này. Kết luận Trong bài này chúng tôi đã giới thiệu cho bạn những cần thiết về việc lọc dữ liệu và tại sao bạn không thể capturer tất cả các dữ liệu đã chọn. Trong phần 4 chúng tôi sẽ tiếp tục giới thiệu cách phân tích dữ liệu đã được lọc. Simpo PDF Merge and Split Unregistered Version - Làm việc với Network Monitor (Phần 4) Nguồn : quantrimang.com Brien M. Posey Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn cách lọc file capture của Network Monitor để chỉ có những truyền thông giữa các máy chủ mong muốn được hiển thị. Việc lọc ra giao tiếp với các máy chủ mà bạn không quan tâm thực chất là lọc bỏ “tạp” file capture, tuy nhiên có thể vẫn có nhiều clutter mà bạn phải phân loại để định vị thông tin mà bạn quan tâm ở bên trong. Ví dụ, chúng tôi đã thực hiện ping đến một trong các máy chủ khác trong mạng. Một lệnh ping chuẩn sinh ra 12 gói dữ liệu. Nếu bạn quan sát trong hình A thì sẽ thấy dù sau khi lọc ra giao tiếp với các máy chủ khác thì vẫn có nhiều hơn 12 gói dữ liệu được hiển thị tại đây. Hình A: Khi bạn thực hiện một capture sẽ có rất nhiều clutter cần phân loại Phần đáng sợ trong capture này là tất cả các gói đó đã được capture trên khoảng thời gian 5 hoặc 6 giây. Bạn chỉ có thể hình dung bao nhiêu gói sẽ được capture trong khoảng thời gian lớn hơn, hay có nhiều máy chủ hơn nữa giống như trong trường hợp của môi trường thực. Tuy nhiên, cũng có một số thứ khác bạn có thể thực hiện để phân loại clutter. Trong trường hợp này, chúng tôi quan tâm đến việc xem xét các gói có liên quan Simpo PDF Merge and Split Unregistered Version - đến lệnh PING. Bất cứ thời điểm nào bạn thực hiện lệnh PING, Windows sẽ sử dụng giao thức ICMP. Bằng cách đó chúng ta có thể lọc được danh sách để chỉ cho ICMP có các gói liên quan được hiển thị. Lưu ý rằng chúng ta đã lọc được danh sách để quan sát các máy chủ cần thiết. Để lọc danh sách bởi giao thức, bạn kích vào biểu tượng Filter (biểu tượng trông như một ống khói). Khi thực hiện thao tác này, bạn sẽ thấy hộp thoại Display Filter được hiển thị như trong hình B. Hình B: Hộp thoại Display Filter cho phép bạn lọc bằng máy chủ và giao thức Để lọc bằng giao thức, bạn chọn dòng Protocol==Any, kích nút Edit Expression (nút này sẽ xuất hiện thay vì nút Change Operator đang được hiển thị trên hình). Bằng cách thực hiện như vậy, bạn sẽ thấy một màn hình tương tự như trong hình C. Cửa sổ này sẽ liệt kê tất cả các giao thức mà Network Monitor biết đến cũng như các mô tả vắn tắt về chúng. Simpo PDF Merge and Split Unregistered Version - Hình C: Hộp thoại Expression liệt kê các giao thức mà Network Monitor biết đến Để tạo bộ lọc, đơn giản bạn chỉ cần kích chuột vào nút Disable All. Thực hiện như vậy sẽ chuyển tất cả các giao thức đã hiển thị trong hình từ danh sách Enabled Protocols đến Disabled Protocols. Kéo danh sách Disabled Protocols cho đến khi bạn định vị được giao thức ICMP. Chọn giao thức ICMP và kích nút Enable. Bằng cách thực hiện như vậy, ICMP sẽ là giao thức được liệt kê trong danh sách Enabled Protocols. Kích OK hai lần và capture sẽ được lọc để hiển thị các gói mà bạn quan tâm như trong hình D. Simpo PDF Merge and Split Unregistered Version - Hình D: Bạn có thể lọc đồng thời bởi host hay giao thức Kỹ thuật và chúng tôi giới thiệu cho bạn sẽ làm việc tốt nếu bạn hiểu chính xác giao thức nào bạn quan tâm đến nó. Đôi khi bạn có thể chỉ cần một cảm nhận chung về những gì đang diễn ra trong giao tiếp giữa hai máy chủ, và có thể không cần biết cụ thể giao thức nào liên quan trong tình tình huống giao tiếp đó. Thậm chí trong một số tình huống, có các kỹ thuật mà bạn có thể sử dụng để phân loại clutter. Kỹ thuật giới thiệu cho bạn là kỹ thuật mà chúng tôi đã sử dụng trong môi trường thực. Ý tưởng đằng sau kỹ thuật này là để lọc các gói “tạp”. Trước khi chúng tôi giới thiệu cho các bạn kỹ thuật này làm việc như thế nào, chúng tôi muốn đề cập đến tiêu chuẩn cho việc phân loại một gói thế nào là “tạp”. Như bạn đã thấy, chúng tôi đã sử dụng một máy tính có tên là FUBAR để thực hiện lệnh PING đối với một máy chủ có tên là TAZMANIA. Hãy giả sử rằng chúng ta biết rằng có hai máy tính là máy tính mà chúng ta quan tâm để phân tích, nhưng chúng ta hãy chuẩn bị trước rằng chúng ta không hiểu ICMP là giao thức được sử dụng bởi lệnh PING. Trong trường hợp này, thứ đầu tiên mà chúng ta thực hiện là lọc ra danh sách gói đã được capture để loại ra các tình huống giao tiếp với máy chủ khác hơn là những máy chủ mà chúng ta quan tâm. Để thực hiện như vậy, chúng tôi sẽ sử dụng kỹ thuật tương tự như đã được sử dụng trong phần 3 và các kết quả sẽ được thể hiện như những gì bạn thấy trong hình A. Simpo PDF Merge and Split Unregistered Version - Khi chúng ta chỉ quan tâm đến việc xem xét các gói ICMP, hãy sử dụng bộ lọc để loại trừ các gói không phải ICMP. Trong kỹ thuật này, chúng ta sẽ thực hiện ngược lại. Thay vì việc loại ra các giao thức trừ một giao thức chúng ta sẽ để lại tất cả các giao thức đã được cho phép ban đầu và sau đó lọc ra các giao thức riêng khi nhận ra rằng không cần quan tâm đến chúng. Như những gì bạn thấy trong hình A, một trong các giao thức sẽ sử dụng thường xuyên nhất là TCP. Khi bạn nhìn thấy gói TCP, nó là một đoạn của một thành phần nào đó được để lại từ một khung khác. Nếu tôi đang cố gắng để hiểu chung chung về những gì đang xảy ra trong một dấu vết thì thứ đầu tiên mà tôi thường xuyên thực hiện là lọc ra các gói TCP. Bạn có thể kích vào biểu tượng bộ lọc để truy cập vào hộp thoại Display Filter. Kích dòng Protocol==Any và kích nút Edit Expression. Chọn giao thức TCP, kích nút Disable. Tuy nhiên, một lỗi trong phiên bản hiện hành của Network Monitor sẽ không cho phép bạn thực hiện được điều này. Để thực hiện theo hướng khác, chúng tôi đã tạo một danh sách cho mỗi giao thức đã được sử dụng capture. Sau đó vô hiệu hóa tất cả giao thức như kích hoạt các giao thức được sử dụng cho capture. Từ đó có thể vô hiệu hóa các giao thức. Ví dụ, nếu bạn so sánh hình E với hình A, bạn sẽ thấy chúng tôi đã có thể phân loại dấu vết bằng cách lọc ra giao thức TCP. Hình E: Lọc ra các giao thức không liên quan đến những gì bạn đang tìm kiếm có thể giảm đáng kể số lượng các gói mà bạn phải phân loại Kết luận Simpo PDF Merge and Split Unregistered Version - Trong phần 4 này, chúng tôi đã giới thiệu cho các bạn hai kỹ thuật khác nhau cho việc cách ly các gói cần thực hiện. Trong phần 5 của loạt bài này chúng tôi sẽ tiếp tục giới thiệu cách trích dữ liệu từ một khung dữ liệu đã capture. Simpo PDF Merge and Split Unregistered Version - Làm việc với Network Monitor (Phần 5) Nguồn : quantrimang.com Brien M. Posey Trong phần trước của loạt bài này, chúng tôi đã minh chứng rằng dù chỉ capture một mạng đơn giản cũng sẽ cho rất nhiều gói kết quả mà bạn không thực sự cần thiết. Và cũng đã giới thiệu cho bạn cách lọc ra các gói “tạp” để chỉ thấy các gói mà bạn thực sự quan tâm. Bây giờ chúng tôi muốn tiếp tục giới thiệu cách phân tích tỉ mỉ các gói còn lại để bạn có thể xem dữ liệu trong chúng bao gồm những gì. Trong phần kết luận của phần trước, tập các gói đã được capture và đã được lọc sẽ giống như những gì thể hiện trong hình A. Như đã giải thích ở phần đầu của bài này, chúng tôi đã capture dữ liệu thể hiện trong hình bằng việc bắt đầu capture, sau đó thực thi lệnh PING và cuối cùng là dừng capture. Mục đích tôi là làm đơn giản mọi thứ nếu có thể. Nếu nhìn vào hình A, bạn có thể thấy vị trí các gói ICMP đã được phát đi và vị trí các hồi âm đã được nhận. Simpo PDF Merge and Split Unregistered Version - Hình 1: Thực sự hữu dụng khi lọc được ra các gói không quan trọng Nếu đây là một capture trong đời thực thì sẽ không cần thiết phải nghiên cứu sâu vào dữ liệu bởi vì bạn có thể nói chính xác những gì đang diễn ra bằng cách quan sát cột Description. Tuy nhiên trong thế giới thực, mọi thứ lại không đơn giản như vậy. Để xác đinh chính xác những gì đang diễn ra bên trong một dấu vết cần phải xem xét bên trong các gói dữ liệu cụ thể. Không có gì đặc biệt để giới thiệu cho các bạn trong gói ICMP. Trong trường hợp này, chúng ta hãy quan sát một số gói LDAP đã được capture. Bạn có thể đã biết, LDAP là viết tắt của Light Weight Directory Access Protocol. LDAP là giao thức được sử dụng để đọc thông tin từ Active Directory và cũng ghi thông tin vào Active Directory. Có hai lý do chúng tôi muốn giới thiệu cho các bạn cách phân tích một gói LDAP. Đầu tiên, trong các dấu vết thế giới thực đối với mạng của Windows, các gói LDAP là một trường hợp rất chung. Việc tồn tại các gói LDAP một cách chung như vậy nên bạn sẽ thấy cần thiết để giải mã ý nghĩa của chúng. Lý do thứ hai là hiểu gói gì đang làm việc. Các công nghệ mà chúng tôi muốn giới thiệu cho các bạn có thể được sử dụng để xem xét nội dung bên trong các gói, nói như vậy có nghĩa rằng không phải mọi gói sẽ đều có nghĩa trừ khi bạn là một chuyên gia về Simpo PDF Merge and Split Unregistered Version - các giao thức. Xem xét bên trong một gói Chúng ta hãy bắt đầu bằng việc xem xét bên trong khung 284. Phần mô tả chỉ nói đơn giản rằng khung này là một yêu cầu tìm kiếm. Tuy nhiên thực tế lại cho thấy rằng một máy đang phát ra yêu cầu tìm kiếm LDAP này không thực sự cho bạn nhiều như vậy. Một cách để biết yêu cầu tìm kiếm này gồm có những gì là xem xét bên trong gói. Trước khi mở gói, hãy kích vào các biểu tượng thay đổi panel chi tiết và panel hex. Khi cả ba panel được hiển thị, chọn gói mà bạn muốn xem xét. Khi thực hiện xong việc chọn gói, bạn sẽ thấy một màn hình tương tự như màn hình thể hiện trong hình B. Simpo PDF Merge and Split Unregistered Version - Simpo PDF Merge and Split Unregistered Version - Hình B: Nội dung bên trong một gói Thứ đầu tiên cần lưu tâm là panel chi tiết. Nếu quan sát panel này bạn sẽ thấy được rằng có một số mục khác nhau có khả năng mở rộng (Frame, Ethernet, IP, TCP và LDAP). Lý do cho các mục khác nhau ở đây là vì các gói có thứ bậc điển hình nguyên thủy. Gói mà chúng ta đang xem xét là một gói LDAP, tuy nhiên các máy tính không đề cập một cách nguyên thủy với LDAP. LDAP được dựa trên giao thức TCP. TCP lại là một phần nhỏ của giao thức IP. Mỗi mục trong panel chi tiết đều thể hiện một lớp tóm lược riêng. Nếu quan sát panel hex, bạn sẽ thấy nội dung các gói được thể hiện dưới dạng hexa. Lưu ý rằng mỗi byte được đánh dấu bằng màu đen. Lý do cho việc đánh dấu này là vì các byte được đánh dấu màu đen tương ứng với phần của gói được chọn trong panel chi tiết. Trong trường hợp riêng này, mục FRAME được chọn. Mục này thể hiện toàn bộ khung, điều đó giải thích cho tại sao toàn bộ khung đều được bôi đen. Nếu chúng tôi chọn mục LDAP thì chỉ có các byte tương ứng với dữ liệu LDAP mới được bôi đen như trong hình C. Simpo PDF Merge and Split Unregistered Version - Hình C: Panel hex bôi đen phần hiện được chọn trong gói Bạncóthể thấymỗi gói này đềucóthể mở rộng Bằng việckíchvào dấucộng Simpo PDF Merge and Split Unregistered Version -
File đính kèm:
- lam_viec_voi_network_monitor_phan_1.pdf