Làm việc với Network Monitor (Phần 1)

Simpo PDF Merge and Split Unregistered Version - 
 Làm việc với Network Monitor (Phần 1) 
 Nguồn : quantrimang.com 
 Brien M. Posey
 Mặc dù một mạng máy tính khá là tin cậy thì đôi khi vẫn có các vấn đề xuất 
 hiện. Ví dụ, một mạng nào đó có thể bị chậm đi so với khả năng của nó 
 hoặc một thiết bị trên mạng này có thể gặp phải vấn đề trong việc truyền 
 thông với thiết bị khác. Trong các tình huống như vậy, một công cụ phân 
 tích thường cần được sử dụng. Trong bài này, chúng tôi sẽ giới thiệu cho 
 các bạn cách cài đặt và sử dụng một công cụ phân tích miễn phí có tên 
 Network Monitor. 
 Để có được Network Monitor 
 Nói một cách chính xác thì Network Monitor không hoàn toàn miễn phí. Tuy 
 nhiên nó có thể được coi là miễn phí bởi vì nó được gộp vào trong sản phẩm 
 khác của Microsoft, trong Windows Server 2003. Có hai phiên bản khác nhau 
 của Network Monitor; phiên bản Basic và phiên bản đầy đủ. Phiên bản Basic có 
 trong Windows Server 2003, còn phiên bản đầy đủ được dành cho SMS Server. 
 Cả hai phiên bản đều cho phép phân tích được lưu lượng mạng, tuy nhiên vẫn 
 có một số sự khác nhau giữa hai phiên bản. Bảng dưới đây sẽ đưa ra các điểm 
 khác nhau này. 
 Đặc điểm Phiên bản Basic Phiên bản Full 
 Chỉ các gói capture Lưu lượng capture 
 Packet Capturing được gửi đến và đi từ từ toàn bộ đoạn 
 host nội bộ mạng 
 Capture Remote 
 Không được hỗ trợ Được hỗ trợ 
 Frames 
 Xem sự tiêu hao băng 
 Không được hỗ trợ Được hỗ trợ 
 tần bởi giao thức 
 Xem sự tiêu hao băng 
 Không được hỗ trợ Được hỗ trợ 
 tần bởi người dùng 
 Thay đổi và phát lại lưu 
 Không được hỗ trợ Được hỗ trợ 
 lượng mạng 
 Sự khác nhau giữa các 
 Không được hỗ trợ Được hỗ trợ 
 router và Network Host 
Simpo PDF Merge and Split Unregistered Version - 
 Giải quyết các tên thiết 
 Không được hỗ trợ Được hỗ trợ 
 bị trong địa chỉ MAC 
 Như những gì đã thấy trong bảng trên, có nhiều khác nhau giữa hai phiên bản 
 Network Monitor. Sự khác nhau lớn nhất là phiên bản Basic chỉ có khả năng 
 phân tích được lưu lượng gửi đi hoặc đến từ máy tính đang sử dụng Network 
 Monitor, trong khi đó phiên bản đầy đủ có thể phân tích tất cả các luồng lưu 
 lượng trên cả đoạn mạng. Lúc đầu sự khác nhau này dường như rất lớn nhưng 
 hai phiên bản này không giống nhau như bạn nghĩ. 
 Để tìm hiểu vấn đề này bạn cần phải hiểu sự khác nhau giữa hub và switch. Khi 
 các máy tính nối mạng được kết nối tới một hub thì tất cả các máy tính nằm 
 trong một miền xung đột chung. Điều này có nghĩa là khi một máy tính truyền đi 
 một gói dữ liệu thì các máy tính khác trên đoạn mạng đều có thể thấy được gói 
 này. Mỗi máy tính sẽ kiểm tra địa chỉ MAC đích đến của gói để xem nó có phải 
 nhận gói dữ liệu đó hay bỏ qua. 
 Vấn đề nảy sinh trong sử dụng hub là nếu hai máy tính cùng truyền đi gói dữ liệu 
 đồng thời thì một xung đột sẽ xuất hiện, các gói sẽ bị phá hủy và phải được 
 truyền lại. Chính vì vậy các mạng được xây dựng trên hub có hiệu suất thấp. 
 Hầu hết mạng hiện đại ngày nay đều được thiết kế bằng switch. Khi máy tính 
 trên mạng này phát đi một gói thì switch sẽ xem địa chỉ MAC của máy nhận và 
 sau đó gửi gói tin này trực tiếp đến máy nhận. Cách làm này đã khắc phục được 
 hiện tượng như ở mạng hub là các máy tính không phải xem gói tin gửi đi này. 
 Bằng sử dụng switch thay cho hub chúng ta đã cải thiện đáng kể hiệu quả mạng 
 và tính bảo mật, tuy nhiên nó cũng hạn chế những gì có thể thực hiện với bộ 
 phân tích giao thức. Như được giới thiệu, phiên bản đầy đủ của Network Monitor 
 có thể phân tích tất cả lưu lượng trên toàn đoạn mạng. Vấn đề xuất hiện ở đây là 
 switch tạo một đoạn logic chỉ gồm có người gửi và người nhận. Vì vậy trên các 
 mạng dùng switch, phiên bản đầy đủ của Network Monitor cũng có những hạn 
 chế như phiên bản Basic. Tuy vậy, Network Monitor vẫn là một công cụ xử lý sự 
 cố tuyệt vời và cũng tốt cho việc tăng hiểu biết về mạng của bạn. Để sử dụng 
 Network Monitor một cách có hiệu quả bạn cần phải bảo đảm và chạy nó trực 
 tiếp trên các máy tính mà bạn đang khắc phục sự cố. 
 Cài đặt phiên bản Basic 
 Phiên bản Basic của Network Monitor có trong Windows Server 2003. Do vậy để 
 cài đặt nó bạn chỉ cần chọn Add / Remove Programs từ Control Panel của máy 
 chủ. Khi bạn thực hiện như vậy, Windows sẽ hiển thị cửa sổ các chương trình 
 Add / Remove. Kích vào nút Add / Remove Windows Components và đợi một 
Simpo PDF Merge and Split Unregistered Version - 
 chút Windows sẽ khởi chạy Windows Components Wizard. Tìm trong các thành 
 phần có sẵn tùy chọn Management and Monitoring Tools. Chọn Management 
 and Monitoring (không chọn hộp kiểm), kích nút Details. Windows sẽ hiển thị 
 một danh sách các công cụ quản lý và kiểm tra khác nhau. Chọn hộp kiểm 
 Network Monitor Tools và kích OK. Giờ bạn kích Next và theo các gợi ý để 
 hoàn tất quá trình cài đặt. Phụ thuộc vào cách máy chủ được cấu hình như thế 
 nào bạn có thể được yêu cầu để cung cấp đĩa cài đặt Windows Server 2003. 
 Cài đặt phiên bản đầy đủ - Full 
 Cài đặt phiên bản đầy đủ của Network Monitor thực sự dễ dàng. Để thực hiện 
 cài đặt bạn chỉ cần đưa đĩa cài SMS Server 2003 vào ổ CD và điều hướng thông 
 qua cấu trúc thư mục của CD đến \NETMON\I386. Lúc đó kích đúp file 
 NETMONSETUP.EXE để khởi động wizard cài đặt. 
 Kích Next để qua màn hình Welcome screen của wizard, màn hình sẽ hiển thị 
 thỏa thuận về đăng ký của người dùng. Sau khi chấp nhận thỏa thuận đăng ký, 
 kích Next, wizard sẽ hiển thị không gian đĩa yêu cầu cho việc cài đặt và các 
 không gian đĩa đang có trên máy. Sau khi bảo đảm có đủ không gian đĩa trống 
 cho việc cài đặt bạn kích Next, khi đó Network Monitor sẽ tự động quá trình cài 
 đặt của nó. Kích Finish để hoàn thiện quá trình cài đặt. 
 Network Monitor Agent 
 Network Monitor được thiết kế chủ yếu để kiểm tra lưu lượng mạng vào/ra đối 
 với một máy tính đang chạy nó (ngoại trừ phiên bản Full cho phép kiểm tra toàn 
 bộ đoạn mạng). Đôi khi bạn lại cần phải thực hiện phân tích chi tiết về lưu lượng 
 mạng liên quan đến máy tính khác hơn là với chính máy tính đang chạy công cụ 
 kiểm tra này. Trong trường hợp như vậy, bạn nên cài đặt Network Monitor Agent 
 (công cụ này cũng được biết đến như Network Monitor driver) vào máy tính mà 
 bạn muốn kiểm tra. 
 Network Monitor driver sẽ được cài đặt tự động khi Network Monitor được cài 
 đặt. Ví dụ nếu trên máy tính bạn cần kiểm tra không cài đặt Network Monitor thì 
 Network Monitor driver phải được cài đặt thủ công. Network Monitor driver có thể 
 tương thích với Windows XP và Windows Server 2003. 
 Để cài đặt Network Monitor Driver trên máy tính đang chạy hệ điều hành 
 Windows XP, bạn mở Control Panel, kích vào liên kết Network and Internet 
 Connections, sau đó là liên kết Network Connections. Lúc này bạn kích chuột 
 phải vào kết nối mạng tương ứng với NIC mà bạn muốn kiểm tra và chọn 
 Properties từ menu chuột phải. Khi cửa sổ thuộc tính của kết nối này xuất hiện, 
 kích nút Install, ở đây bạn sẽ được hỏi xem có muốn cài đặt Client, Service, hay 
Simpo PDF Merge and Split Unregistered Version - 
 Protocol. Chọn tùy chọn Protocol và kích nút Add. Cuối cùng chọn Network 
 Monitor Driver từ danh sách các giao thức có sẵn sau đó kích OK. Bạn có thể 
 được nhắc để cung cấp đĩa cài đặt Windows. 
 Kết luận 
 Trong phần 1 này, chúng tôi đã giới thiệu cho bạn công cụ Network Monitor, một 
 công cụ tuyệt vời dùng để kiểm tra các vấn đề về mạng. Trong bài cũng đưa ra 
 sự khác nhau giữa hai phiên bản của công cụ này và cuối cùng là đi sâu vào quá 
 trình cài đặt nó. Trong phần 2 chúng tôi sẽ giới thiệu cho các bạn về cách sử 
 dụng Network Monitor như thế nào, mời các bạn tiếp tục theo dõi trong phần hai. 
Simpo PDF Merge and Split Unregistered Version - 
 Làm việc với Network Monitor (Phần 2) 
 Nguồn : quantrimang.com 
 Brien M. Posey
 Trong phần thứ nhất chúng tôi đã giới thiệu về sự khác nhau giữa các 
 phiên bản của Network Monitor và quá trình cài đặt nó. Phần hai này sẽ tiếp 
 tục thảo luận bằng cách giới thiệu về cách sử dụng công cụ thú vị này. 
 Như những gì đã giới thiệu trong phần 1, có hai phiên bản khác nhau của công 
 cụ Network Monitor. Đối với mục đích của bài này chúng tôi sử dụng phiên bản 
 đầy đủ (Full) cùng với SMS Server 2003 Service Pack 1. 
 Giao diện Network Monitor 
 Khi khởi chạy Network Monitor, thứ đầu tiên bạn thấy là một thông báo yêu cầu 
 lựa chọn giao diện mạng mà bạn muốn capture dữ liệu. Đây là bước quan trọng 
 bởi vì nếu bỏ mặc lựa chọn giao diện thì Network Monitor sẽ nhặt lấy một giao 
 diện tùy ý và giao diện này có thể không phải là giao diện mà bạn muốn có. 
 Kích OK bạn sẽ vào được màn hình giống như hình A dưới đây. Đơn giản hãy 
 chọn giao diện mạng mà bạn muốn sử dụng sau đó kích OK. 
 Hình A: Lựa chọn giao diện mạng mà bạn muốn kiểm tra. 
 Ở đây, Network Monitor sẽ hiển thị màn hình capture chính, được thể hiện trong 
 hình B.Ttrước khi giới thiệu cho bạn cách sử dụng màn hình này chúng tôi muốn 
 đề cập rằng Network Monitor chỉ gợi ý chọn mạng mà bạn muốn kiểm tra khi lần 
 đầu sử dụng nó. Nếu máy tính của bạn chỉ có một adapter mạng thì điều này sẽ 
 không có vấn đề gì. Nếu hệ thống có nhiều đoạn mạng thì bạn có thể kiểm tra 
Simpo PDF Merge and Split Unregistered Version - 
 lưu lượng của tất cả các đoạn mạng đó. 
 Hình B: Màn hình capture của Network Monitor 
 Một nhược điểm ở đây là bạn không thể kiểm tra lưu lượng qua các đoạn mạng 
 một cách đồng thời, nhưng có thể chuyển các đoạn mạng ngay cho dù Network 
 Monitor không tự động gợi ý về đoạn mạng mà bạn muốn kiểm tra. Để thực hiện 
 điều đó, bạn chỉ cần chọn lệnh Networks từ menu Capture. Lúc này bạn sẽ gặp 
 màn hình giống như trong hình A. Sự khác nhau lớn nhất giữa hai màn hình này 
 là màn hình sau có tùy chọn Remote mà bạn có thể sử dụng cho việc capture 
 các gói dữ liệu từ xa. 
 Hãy quan sát một chút trong màn hình capture. Như những gì bạn có thể thấy 
 trong hình, màn hình này có 4 panel khác nhau. Panel ở phần trên trái của cửa 
 sổ là panel biểu đồ. Panel biểu đồ sẽ hiển thị mức hành động hiện hành bằng đồ 
 học trong suốt quá trình capture. Nó gồm các biểu đồ hiển thị phần trăm sử dụng 
 mạng, số khung được capture, số byte được capture, số broadcast và multicast 
 trên mỗi giây. 
 Bạn có thể thấy trong hình có một thanh cuộn liên quan đến panel biểu đồ. 
 Thanh cuộn này dễ bị nhầm lẫn bởi vì không có biểu đồ nào ngoại trừ những cái 
 được thể hiện trong hình. 
 Dưới panel biểu đồ là phần panel thống kê session. Panel này được thiết kế để 
 hiển thị tổng số lưu lượng đã được capture. Phần này hiển thị các thứ giống như 
 các địa chỉ mạng của host có liên quan đến trong một tình huống, địa chỉ được 
Simpo PDF Merge and Split Unregistered Version - 
 host khởi tạo cho tình huống này. 
 Phần dưới của màn hình gồm có panel thống kê session. Panel này hiển thị toàn 
 bộ thông tin capture. Địa chỉ mạng của mỗi host cũng được hiển thị cùng với số 
 khung được gửi/nhận, số byte gửi/nhận và số khung, multicast và broadcast có 
 hướng được gửi đi. 
 Phần bên phải trên của cửa sổ là panel thống kê toàn bộ. Như tên ngụ ý, panel 
 này hiển thị các thống kê liên quan đến tất cả lưu lượng mạng đã được capture 
 trọn vẹn. Panel này hiển thị các kiểu thông tin tương tự như thông tin trên panel 
 khác đã được đề cập đến, tuy nhiên chỉ có một sự khác nhau nhỏ đó là nó không 
 giảm các thống kê trên mỗi host cơ bản. 
 Capture lưu lượng mạng 
 Bây giờ tôi sẽ thao tác trong giao diện này, chúng ta sẽ thực hiện việc capture 
 lưu lượng mạng. Nếu nhìn vào hình B thì bạn sẽ thấy thanh công cụ ở trên panel 
 biểu đồ. Thanh công cụ này được sử dụng để điều khiển quá trình capturre. Các 
 nút liên quan đến việc capture trên thanh công cụ này được liệt kê dưới đây: 
 • Capture Data – Capture dữ liệu 
 • Pause the capture or resume a paused capture – Tạm dừng capture 
 hay tiếp tục lại capturre đã tạm dừng 
 • Stop the capture process – Dừng hẳn quá trình capture. 
 • Stop the capture and view the captured data – Dừng capture và xem 
 dữ liệu đã capture 
 • View the captured data – Xem dữ liệu đã capture 
 • Help – Trợ giúp 
 Để capture dữ liệu bằng Network Monitor, bạn hãy kích nút Capture Data. 
 Network Monitor sẽ bắt đầu quá việc capture dữ liệu và sẽ không dừng cho tới 
 khi dừng hẳn hay tạm dừng. Quá trình capture dữ liệu giống như những gì bạn 
 thấy trong hình C. 
Simpo PDF Merge and Split Unregistered Version - 
 Hình C: Giao diện Network Monitor khi đang capture dữ liệu 
 Như những gì thấy trong hình, nó gồm có rất nhiều các thống kê, nhưng không 
 có dữ liệu thực. Nếu muốn xem dữ liệu đã được capture thì bạn sẽ phải kích vào 
 nút View Data trên thanh công cụ. Bằng cách đó bạn sẽ thấy được màn hình 
 giống như hình D. 
 Hình D: Dữ liệu đã được capture 
Simpo PDF Merge and Split Unregistered Version - 
 Nếu quan sát kỹ hơn về dữ liệu đã được capture thì bạn sẽ thấy những gì 
 Network Monitor đang hiển thị là toàn bộ các khung riêng lẻ đã được capture. 
 Màn hình này liệt kê số khung, thời gian mà khung đó được capture, địa chỉ 
 nguồn và địa chỉ đích, các giao thức được sử dụng nhưng không hiển thị dữ 
 liệu trong khung. Tuy nhiên có một cách dễ dàng để xem được các thông tin chi 
 tiết hơn. 
 Nếu nhìn vào thanh công cụ bạn sẽ thấy có 3 nút có 3 hình chữ nhật: 
 Các nút này cho phép bạn chuyển tới và lui trong các panel chi tiết, tổng thể và 
 panel hệ đếm 16. Khi tất cả 3 panel này đều được kích hoạt thì bạn có thể xem 
 toàn bộ về các khung đã chọn như trong hình E. 
 Hình E: 3 panel cho thấy được toàn bộ thông tin liên quan đến các khung đã 
 được chọn. 
 Như những gì bạn thấy trong hình, panel Details hiển thị thông tin giao thức cho 
 khung được chọn hiện hành. Khi một khung có nhiều giao thức thì giao thức bên 
 ngoài cùng được liệt kê đầu tiên. Panel hệ đếm 16 hiển thị dữ liệu thực của 
 khung. Lưu ý trong hình là chỉ một phần của khung được chọn trong panel 
 Details. Phần được chọn này sẽ được tô đậm trong panel hệ đếm 16 để giúp 
 bạn cách ly dữ liệu. 
 Kết luận 
 Trong phần hai này chúng tôi đã giới thiệu cho bạn các vấn đề cơ bản trong việc 
Simpo PDF Merge and Split Unregistered Version - 
 sử dụng công cụ Network Monitor. Trong phần 3 chúng tôi sẽ tiếp tục giới thiệu 
 một capture mẫu đơn giản để hướng dẫn bạn cách phân tích dữ liệu đã 
 capturre. 
Simpo PDF Merge and Split Unregistered Version - 
 Làm việc với Network Monitor (Phần 3) 
 Nguồn : quantrimang.com 
 Brien M. Posey
 Trong hai phần trước chúng tôi đã giới thiệu cho các bạn một số kỹ thuật 
 cơ bản về capture dữ liệu bằng Network Monitor. Phần 3 này sẽ tiếp tục 
 giới thiệu cách phân tích dữ liệu mà bạn đã capture được. 
 Với mục đích đơn giản, chúng ta thực hiện thao tác ping đơn giản. Để thực hiện 
 điều đó bạn phải đăng nhập vào máy chủ mà bạn sẽ chạy Network Monitor, mở 
 cửa sổ lệnh. Khi cửa sổ lệnh đã mở, đánh lệnh “PING”, sau đó là một dấu cách 
 và tên miền đầy đủ hoặc một địa chỉ IP của máy tính trong mạng, nhưng bạn vẫn 
 chưa nhấn phím Enter lúc này. Mở Network Monitor và chọn lệnh Start từ menu 
 Capture. Ngay lúc đó chuyển sang cửa sổ lệnh và nhấn Enter để thực thi lệnh 
 ping. Lệnh này sẽ trả về các kết qu ... ích OK. Trong trường 
 hợp riêng này, tất cả mọi thứ đều rất đơn giản. 
 Bạn sẽ thấy được trong hình này có rất nhiều địa chỉ IP có liên quan đến máy 
 tính thử nghiệm. Điều đó là vì máy tính này là một máy chủ Web và đang quản lý 
 nhiều website, mỗi một website lại có một địa chỉ riêng. Trong tình huống tương 
 tự, bạn nên chọn địa chỉ chính của máy tính trừ khi có một lý do riêng để sử 
 dụng một trong các địa chỉ còn lại. 
 Một thứ khác ở đây làm cho màn hình hiển thị hơi khó hiểu một chút là địa của 
 chỉ máy đích không được hiển thị. Bạn có thể cố sửa điều này bằng cách kích 
 nút Edit Addresses. Khi đó sẽ thấy được một danh sách tất cả các địa chỉ từ 
 danh sách trước đó. Kích vào nút Add bạn sẽ có cơ hội thêm một địa chỉ vào 
 danh sách. Lưu ý trong hình E là phải chọn kiểu địa chỉ (IP hoặc MAC) mà bạn 
 muốn bổ sung. Kích OK, sau đó là Close, địa chỉ sẽ được thêm vào bộ lọc địa 
 chỉ. 
Simpo PDF Merge and Split Unregistered Version - 
 Hình E: Thêm địa chỉ vào danh sách 
 Bây giờ bạn chọn các địa chỉ IP có liên quan đến tình huống đã quan tâm, sau 
 đó kích OK hai lần. Danh sách các khung đã được capture hiện đã được lọc chỉ 
 hiển thị lưu lượng từ các máy tính được chọn, như hình F. 
 Hình F: Danh sách dữ liệu đã được capture chỉ hiển thị các khung mà chúng ta 
 quan tâm 
 Khi việc capture của chúng ta chỉ liên quan đến lệnh PING thì bạn hoàn toàn sẽ 
 không bị bất cứ vấn đề gì về việc định vị dữ liệu mà bạn đang tìm kiếm. Trong 
 thế giới thực, đôi khi xảy ra tình huống dữ liệu mà bạn đang cố gắng capture có 
 thể không tồn tại bên trong capture. Có hai điều kiện chính có thể gây ra điều 
 này. Thứ nhất, tại sao file capture của bạn có thể không có dữ liệu mà bạn quan 
Simpo PDF Merge and Split Unregistered Version - 
 tâm là bởi vì hầu hết các công ty đều chuyển từ sử dụng hub sang switch. Trên 
 mạng có sử dụng hub, mỗi máy tính trên hub nhận cùng một lưu lượng dữ liệu. 
 Khi máy tính cần truyền thông với một máy tính khác nó sẽ đặt một gói dữ liệu 
 lên dây và gói dữ liệu này sẽ được luân chuyển đến các máy tính khác có gắn 
 với hub. Máy tính nhận gói dữ liệu phân biệt gói dữ liệu này bằng cách quan sát 
 header của mỗi gói, kiểm tra xem đó có phải là gói được gửi cho mình không. 
 Nếu địa chỉ đích tương ứng với địa chỉ MAC của máy tính đó thì máy này sẽ mở 
 gói dữ liệu và tiếp đó là nội dung của nó. Còn trường hợp ngược lại thì nó sẽ bỏ 
 qua. 
 Với mạng sử dụng switch thì lại khác. Khi một máy tính gửi đi một gói dữ liệu thì 
 switch quan sát header của gói để xác định máy tính nào sẽ nhận gói. Sau đó nó 
 sẽ chuyển tiếp gói tin này đến cổng switch mà máy tính nhận kết nối đến. Các 
 máy tính khác hoàn toàn không biết đến gói dữ liệu này. 
 Lý do tại sao các switch lại thay thế hub là bởi vì chúng cho hiệu quả cao hơn và 
 an toàn hơn. Nếu một hub được sử dụng cho hai máy tính đang muốn gửi dữ 
 liệu cùng một lúc thì một xung đột sẽ xuất hiện và cả hai gói dữ liệu trong quá 
 trình này đều bị phá hủy. Hai máy tính đó lại phải đợi một khoảng thời gian ngẫu 
 nhiên để phát lại dữ liệu đã bị xung đột đó. Nếu có nhiều máy tính hơn thì số lần 
 xung đột xảy ra nhiều hơn và như vậy kéo theo hiệu xuất mạng thấp. Đó chính là 
 lý do làm cho các công ty chuyển dần sang dùng switch thay cho hub. Các 
 Switch lại khó khăn cho việc capture dữ liệu với Network Monitor. Lý do ở đây là 
 với cách các switch làm việc bạn chỉ có thể capture được dữ liệu đã gửi đi hoặc 
 từ máy tính khác đến máy tính có Network Monitor đang chạy trên nó. 
 Điều kiện khác có thể làm cho các gói mong muốn không được capture là sử 
 dụng các máy tính ảo. Nếu một máy chủ đơn cấu hình lên nhiều máy ảo thì lưu 
 lượng vào các máy tính ảo đó sẽ có thể không được capture bởi vì lưu lượng 
 giữa các máy tính ảo đã được cấu hình bởi một máy chủ riêng mà không có dây 
 dẫn. Tuy nhiên bạn cũng có thể cấu hình các máy tính ảo để lưu lượng giữa 
 chúng rơi vào mạng nhưng điều đó năm ngoài phạm vi của bài này. 
 Kết luận 
 Trong bài này chúng tôi đã giới thiệu cho bạn những cần thiết về việc lọc dữ liệu 
 và tại sao bạn không thể capturer tất cả các dữ liệu đã chọn. Trong phần 4 
 chúng tôi sẽ tiếp tục giới thiệu cách phân tích dữ liệu đã được lọc. 
Simpo PDF Merge and Split Unregistered Version - 
 Làm việc với Network Monitor (Phần 4) 
 Nguồn : quantrimang.com 
 Brien M. Posey
 Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn 
 cách lọc file capture của Network Monitor để chỉ có những truyền thông 
 giữa các máy chủ mong muốn được hiển thị. Việc lọc ra giao tiếp với các 
 máy chủ mà bạn không quan tâm thực chất là lọc bỏ “tạp” file capture, tuy 
 nhiên có thể vẫn có nhiều clutter mà bạn phải phân loại để định vị thông tin 
 mà bạn quan tâm ở bên trong. Ví dụ, chúng tôi đã thực hiện ping đến một 
 trong các máy chủ khác trong mạng. Một lệnh ping chuẩn sinh ra 12 gói dữ liệu. 
 Nếu bạn quan sát trong hình A thì sẽ thấy dù sau khi lọc ra giao tiếp với các máy 
 chủ khác thì vẫn có nhiều hơn 12 gói dữ liệu được hiển thị tại đây. 
 Hình A: Khi bạn thực hiện một capture sẽ có rất nhiều clutter cần phân loại 
 Phần đáng sợ trong capture này là tất cả các gói đó đã được capture trên 
 khoảng thời gian 5 hoặc 6 giây. Bạn chỉ có thể hình dung bao nhiêu gói sẽ được 
 capture trong khoảng thời gian lớn hơn, hay có nhiều máy chủ hơn nữa giống 
 như trong trường hợp của môi trường thực. 
 Tuy nhiên, cũng có một số thứ khác bạn có thể thực hiện để phân loại clutter. 
 Trong trường hợp này, chúng tôi quan tâm đến việc xem xét các gói có liên quan 
Simpo PDF Merge and Split Unregistered Version - 
 đến lệnh PING. Bất cứ thời điểm nào bạn thực hiện lệnh PING, Windows sẽ sử 
 dụng giao thức ICMP. Bằng cách đó chúng ta có thể lọc được danh sách để chỉ 
 cho ICMP có các gói liên quan được hiển thị. 
 Lưu ý rằng chúng ta đã lọc được danh sách để quan sát các máy chủ cần thiết. 
 Để lọc danh sách bởi giao thức, bạn kích vào biểu tượng Filter (biểu tượng trông 
 như một ống khói). Khi thực hiện thao tác này, bạn sẽ thấy hộp thoại Display 
 Filter được hiển thị như trong hình B. 
 Hình B: Hộp thoại Display Filter cho phép bạn lọc bằng máy chủ và giao thức 
 Để lọc bằng giao thức, bạn chọn dòng Protocol==Any, kích nút Edit Expression 
 (nút này sẽ xuất hiện thay vì nút Change Operator đang được hiển thị trên hình). 
 Bằng cách thực hiện như vậy, bạn sẽ thấy một màn hình tương tự như trong 
 hình C. Cửa sổ này sẽ liệt kê tất cả các giao thức mà Network Monitor biết đến 
 cũng như các mô tả vắn tắt về chúng. 
Simpo PDF Merge and Split Unregistered Version - 
 Hình C: Hộp thoại Expression liệt kê các giao thức mà Network Monitor biết đến 
 Để tạo bộ lọc, đơn giản bạn chỉ cần kích chuột vào nút Disable All. Thực hiện 
 như vậy sẽ chuyển tất cả các giao thức đã hiển thị trong hình từ danh sách 
 Enabled Protocols đến Disabled Protocols. Kéo danh sách Disabled Protocols 
 cho đến khi bạn định vị được giao thức ICMP. Chọn giao thức ICMP và kích nút 
 Enable. Bằng cách thực hiện như vậy, ICMP sẽ là giao thức được liệt kê trong 
 danh sách Enabled Protocols. Kích OK hai lần và capture sẽ được lọc để hiển thị 
 các gói mà bạn quan tâm như trong hình D. 
Simpo PDF Merge and Split Unregistered Version - 
 Hình D: Bạn có thể lọc đồng thời bởi host hay giao thức 
 Kỹ thuật và chúng tôi giới thiệu cho bạn sẽ làm việc tốt nếu bạn hiểu chính xác 
 giao thức nào bạn quan tâm đến nó. Đôi khi bạn có thể chỉ cần một cảm nhận 
 chung về những gì đang diễn ra trong giao tiếp giữa hai máy chủ, và có thể 
 không cần biết cụ thể giao thức nào liên quan trong tình tình huống giao tiếp đó. 
 Thậm chí trong một số tình huống, có các kỹ thuật mà bạn có thể sử dụng để 
 phân loại clutter. 
 Kỹ thuật giới thiệu cho bạn là kỹ thuật mà chúng tôi đã sử dụng trong môi trường 
 thực. Ý tưởng đằng sau kỹ thuật này là để lọc các gói “tạp”. Trước khi chúng tôi 
 giới thiệu cho các bạn kỹ thuật này làm việc như thế nào, chúng tôi muốn đề cập 
 đến tiêu chuẩn cho việc phân loại một gói thế nào là “tạp”. 
 Như bạn đã thấy, chúng tôi đã sử dụng một máy tính có tên là FUBAR để thực 
 hiện lệnh PING đối với một máy chủ có tên là TAZMANIA. Hãy giả sử rằng 
 chúng ta biết rằng có hai máy tính là máy tính mà chúng ta quan tâm để phân 
 tích, nhưng chúng ta hãy chuẩn bị trước rằng chúng ta không hiểu ICMP là giao 
 thức được sử dụng bởi lệnh PING. Trong trường hợp này, thứ đầu tiên mà 
 chúng ta thực hiện là lọc ra danh sách gói đã được capture để loại ra các tình 
 huống giao tiếp với máy chủ khác hơn là những máy chủ mà chúng ta quan tâm. 
 Để thực hiện như vậy, chúng tôi sẽ sử dụng kỹ thuật tương tự như đã được sử 
 dụng trong phần 3 và các kết quả sẽ được thể hiện như những gì bạn thấy trong 
 hình A. 
Simpo PDF Merge and Split Unregistered Version - 
 Khi chúng ta chỉ quan tâm đến việc xem xét các gói ICMP, hãy sử dụng bộ lọc 
 để loại trừ các gói không phải ICMP. Trong kỹ thuật này, chúng ta sẽ thực hiện 
 ngược lại. Thay vì việc loại ra các giao thức trừ một giao thức chúng ta sẽ để lại 
 tất cả các giao thức đã được cho phép ban đầu và sau đó lọc ra các giao thức 
 riêng khi nhận ra rằng không cần quan tâm đến chúng. 
 Như những gì bạn thấy trong hình A, một trong các giao thức sẽ sử dụng thường 
 xuyên nhất là TCP. Khi bạn nhìn thấy gói TCP, nó là một đoạn của một thành 
 phần nào đó được để lại từ một khung khác. Nếu tôi đang cố gắng để hiểu 
 chung chung về những gì đang xảy ra trong một dấu vết thì thứ đầu tiên mà tôi 
 thường xuyên thực hiện là lọc ra các gói TCP. 
 Bạn có thể kích vào biểu tượng bộ lọc để truy cập vào hộp thoại Display Filter. 
 Kích dòng Protocol==Any và kích nút Edit Expression. Chọn giao thức TCP, kích 
 nút Disable. Tuy nhiên, một lỗi trong phiên bản hiện hành của Network Monitor 
 sẽ không cho phép bạn thực hiện được điều này. Để thực hiện theo hướng 
 khác, chúng tôi đã tạo một danh sách cho mỗi giao thức đã được sử dụng 
 capture. Sau đó vô hiệu hóa tất cả giao thức như kích hoạt các giao thức được 
 sử dụng cho capture. Từ đó có thể vô hiệu hóa các giao thức. Ví dụ, nếu bạn so 
 sánh hình E với hình A, bạn sẽ thấy chúng tôi đã có thể phân loại dấu vết bằng 
 cách lọc ra giao thức TCP. 
 Hình E: Lọc ra các giao thức không liên quan đến những gì bạn đang tìm kiếm 
 có thể giảm đáng kể số lượng các gói mà bạn phải phân loại 
 Kết luận 
Simpo PDF Merge and Split Unregistered Version - 
 Trong phần 4 này, chúng tôi đã giới thiệu cho các bạn hai kỹ thuật khác nhau 
 cho việc cách ly các gói cần thực hiện. Trong phần 5 của loạt bài này chúng tôi 
 sẽ tiếp tục giới thiệu cách trích dữ liệu từ một khung dữ liệu đã capture. 
Simpo PDF Merge and Split Unregistered Version - 
 Làm việc với Network Monitor (Phần 5) 
 Nguồn : quantrimang.com 
 Brien M. Posey
 Trong phần trước của loạt bài này, chúng tôi đã minh chứng rằng dù chỉ 
 capture một mạng đơn giản cũng sẽ cho rất nhiều gói kết quả mà bạn 
 không thực sự cần thiết. Và cũng đã giới thiệu cho bạn cách lọc ra các gói 
 “tạp” để chỉ thấy các gói mà bạn thực sự quan tâm. Bây giờ chúng tôi 
 muốn tiếp tục giới thiệu cách phân tích tỉ mỉ các gói còn lại để bạn có thể 
 xem dữ liệu trong chúng bao gồm những gì. 
 Trong phần kết luận của phần trước, tập các gói đã được capture và đã được lọc 
 sẽ giống như những gì thể hiện trong hình A. Như đã giải thích ở phần đầu của 
 bài này, chúng tôi đã capture dữ liệu thể hiện trong hình bằng việc bắt đầu 
 capture, sau đó thực thi lệnh PING và cuối cùng là dừng capture. Mục đích tôi là 
 làm đơn giản mọi thứ nếu có thể. Nếu nhìn vào hình A, bạn có thể thấy vị trí các 
 gói ICMP đã được phát đi và vị trí các hồi âm đã được nhận. 
Simpo PDF Merge and Split Unregistered Version - 
 Hình 1: Thực sự hữu dụng khi lọc được ra các gói không quan trọng 
 Nếu đây là một capture trong đời thực thì sẽ không cần thiết phải nghiên cứu 
 sâu vào dữ liệu bởi vì bạn có thể nói chính xác những gì đang diễn ra bằng cách 
 quan sát cột Description. Tuy nhiên trong thế giới thực, mọi thứ lại không đơn 
 giản như vậy. Để xác đinh chính xác những gì đang diễn ra bên trong một dấu 
 vết cần phải xem xét bên trong các gói dữ liệu cụ thể. 
 Không có gì đặc biệt để giới thiệu cho các bạn trong gói ICMP. Trong trường 
 hợp này, chúng ta hãy quan sát một số gói LDAP đã được capture. Bạn có thể 
 đã biết, LDAP là viết tắt của Light Weight Directory Access Protocol. LDAP là 
 giao thức được sử dụng để đọc thông tin từ Active Directory và cũng ghi thông 
 tin vào Active Directory. 
 Có hai lý do chúng tôi muốn giới thiệu cho các bạn cách phân tích một gói LDAP. 
 Đầu tiên, trong các dấu vết thế giới thực đối với mạng của Windows, các gói 
 LDAP là một trường hợp rất chung. Việc tồn tại các gói LDAP một cách chung 
 như vậy nên bạn sẽ thấy cần thiết để giải mã ý nghĩa của chúng. Lý do thứ hai là 
 hiểu gói gì đang làm việc. Các công nghệ mà chúng tôi muốn giới thiệu cho các 
 bạn có thể được sử dụng để xem xét nội dung bên trong các gói, nói như vậy có 
 nghĩa rằng không phải mọi gói sẽ đều có nghĩa trừ khi bạn là một chuyên gia về 
Simpo PDF Merge and Split Unregistered Version - 
 các giao thức. 
 Xem xét bên trong một gói 
 Chúng ta hãy bắt đầu bằng việc xem xét bên trong khung 284. Phần mô tả chỉ 
 nói đơn giản rằng khung này là một yêu cầu tìm kiếm. Tuy nhiên thực tế lại cho 
 thấy rằng một máy đang phát ra yêu cầu tìm kiếm LDAP này không thực sự cho 
 bạn nhiều như vậy. Một cách để biết yêu cầu tìm kiếm này gồm có những gì là 
 xem xét bên trong gói. 
 Trước khi mở gói, hãy kích vào các biểu tượng thay đổi panel chi tiết và panel 
 hex. Khi cả ba panel được hiển thị, chọn gói mà bạn muốn xem xét. Khi thực 
 hiện xong việc chọn gói, bạn sẽ thấy một màn hình tương tự như màn hình thể 
 hiện trong hình B. 
Simpo PDF Merge and Split Unregistered Version - 
Simpo PDF Merge and Split Unregistered Version - 
 Hình B: Nội dung bên trong một gói 
 Thứ đầu tiên cần lưu tâm là panel chi tiết. Nếu quan sát panel này bạn sẽ thấy 
 được rằng có một số mục khác nhau có khả năng mở rộng (Frame, Ethernet, IP, 
 TCP và LDAP). Lý do cho các mục khác nhau ở đây là vì các gói có thứ bậc điển 
 hình nguyên thủy. Gói mà chúng ta đang xem xét là một gói LDAP, tuy nhiên các 
 máy tính không đề cập một cách nguyên thủy với LDAP. LDAP được dựa trên 
 giao thức TCP. TCP lại là một phần nhỏ của giao thức IP. Mỗi mục trong panel 
 chi tiết đều thể hiện một lớp tóm lược riêng. 
 Nếu quan sát panel hex, bạn sẽ thấy nội dung các gói được thể hiện dưới dạng 
 hexa. Lưu ý rằng mỗi byte được đánh dấu bằng màu đen. Lý do cho việc đánh 
 dấu này là vì các byte được đánh dấu màu đen tương ứng với phần của gói 
 được chọn trong panel chi tiết. Trong trường hợp riêng này, mục FRAME được 
 chọn. Mục này thể hiện toàn bộ khung, điều đó giải thích cho tại sao toàn bộ 
 khung đều được bôi đen. Nếu chúng tôi chọn mục LDAP thì chỉ có các byte 
 tương ứng với dữ liệu LDAP mới được bôi đen như trong hình C. 
Simpo PDF Merge and Split Unregistered Version - 
 Hình C: Panel hex bôi đen phần hiện được chọn trong gói 
 Bạncóthể thấymỗi gói này đềucóthể mở rộng Bằng việckíchvào dấucộng
Simpo PDF Merge and Split Unregistered Version -