Tải bản đầy đủ (.pdf) (29 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

Làm việc với Network Monitor pptx

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.84 MB, 29 trang )

Làm việc với Network Monitor (Phần 1)
Ngu

n:quantrimang.com
Brien M. Pose
y
Mặc dù một mạng máy tính khá là tin cậy thì đôi khi vẫn có các vấn đề xuất
hiện. Ví dụ, một mạng nào đó có thể bị chậm đi so với khả năng của nó
hoặc một thiết bị trên mạng này có thể gặp phải vấn đề trong việc truyền
thông với thiết bị khác. Trong các tình huống như vậy, một công cụ phân
tích thường cần được sử dụng. Trong bài này, chúng tôi sẽ gi
ới thiệu cho
các bạn cách cài đặt và sử dụng một công cụ phân tích miễn phí có tên
Network Monitor.

Để có được Network Monitor

Nói một cách chính xác thì Network Monitor không hoàn toàn miễn phí. Tuy
nhiên nó có thể được coi là miễn phí bởi vì nó được gộp vào trong sản phẩm
khác của Microsoft, trong Windows Server 2003. Có hai phiên bản khác nhau
của Network Monitor; phiên bản Basic và phiên bản đầy đủ. Phiên bản Basic có
trong Windows Server 2003, còn phiên bản đầy đủ được dành cho SMS Server.
Cả hai phiên bản đều cho phép phân tích được lưu lượng mạng, tuy nhiên vẫn
có một số sự
khác nhau giữa hai phiên bản. Bảng dưới đây sẽ đưa ra các điểm
khác nhau này.
Đặc điểm Phiên bản Basic Phiên bản Full
Packet Capturing
Chỉ các gói capture
được gửi đến và đi từ
host nội bộ


Lưu lượng capture
từ toàn bộ đoạn
mạng
Capture Remote
Frames
Không được hỗ trợ Được hỗ trợ
Xem sự tiêu hao băng
tần bởi giao thức
Không được hỗ trợ Được hỗ trợ
Xem sự tiêu hao băng
tần bởi người dùng
Không được hỗ trợ Được hỗ trợ
Thay đổi và phát lại lưu
lượng mạng
Không được hỗ trợ Được hỗ trợ
Sự khác nhau giữa các
router và Network Host
Không được hỗ trợ Được hỗ trợ
Simpo PDF Merge and Split Unregistered Version -
Giải quyết các tên thiết
bị trong địa chỉ MAC
Không được hỗ trợ Được hỗ trợ
Như những gì đã thấy trong bảng trên, có nhiều khác nhau giữa hai phiên bản
Network Monitor. Sự khác nhau lớn nhất là phiên bản Basic chỉ có khả năng
phân tích được lưu lượng gửi đi hoặc đến từ máy tính đang sử dụng Network
Monitor, trong khi đó phiên bản đầy đủ có thể phân tích tất cả các luồng lưu
lượng trên cả đoạn mạng. Lúc đầu sự khác nhau này dường như rất lớn nhưng
hai phiên bả
n này không giống nhau như bạn nghĩ.


Để tìm hiểu vấn đề này bạn cần phải hiểu sự khác nhau giữa hub và switch. Khi
các máy tính nối mạng được kết nối tới một hub thì tất cả các máy tính nằm
trong một miền xung đột chung. Điều này có nghĩa là khi một máy tính truyền đi
một gói dữ liệu thì các máy tính khác trên đoạn mạng đều có thể thấy được gói
này. Mỗi máy tính sẽ kiểm tra địa chỉ
MAC đích đến của gói để xem nó có phải
nhận gói dữ liệu đó hay bỏ qua.

Vấn đề nảy sinh trong sử dụng hub là nếu hai máy tính cùng truyền đi gói dữ liệu
đồng thời thì một xung đột sẽ xuất hiện, các gói sẽ bị phá hủy và phải được
truyền lại. Chính vì vậy các mạng được xây dựng trên hub có hiệu suất thấp.
Hầu hết mạng hiện đại ngày nay đều đượ
c thiết kế bằng switch. Khi máy tính
trên mạng này phát đi một gói thì switch sẽ xem địa chỉ MAC của máy nhận và
sau đó gửi gói tin này trực tiếp đến máy nhận. Cách làm này đã khắc phục được
hiện tượng như ở mạng hub là các máy tính không phải xem gói tin gửi đi này.

Bằng sử dụng switch thay cho hub chúng ta đã cải thiện đáng kể hiệu quả mạng
và tính bảo mật, tuy nhiên nó cũng hạn chế những gì có thể th
ực hiện với bộ
phân tích giao thức. Như được giới thiệu, phiên bản đầy đủ của Network Monitor
có thể phân tích tất cả lưu lượng trên toàn đoạn mạng. Vấn đề xuất hiện ở đây là
switch tạo một đoạn logic chỉ gồm có người gửi và người nhận. Vì vậy trên các
mạng dùng switch, phiên bản đầy đủ của Network Monitor cũng có những hạn
chế như phiên b
ản Basic. Tuy vậy, Network Monitor vẫn là một công cụ xử lý sự
cố tuyệt vời và cũng tốt cho việc tăng hiểu biết về mạng của bạn. Để sử dụng
Network Monitor một cách có hiệu quả bạn cần phải bảo đảm và chạy nó trực
tiếp trên các máy tính mà bạn đang khắc phục sự cố.


Cài đặt phiên bản Basic

Phiên bản Basic của Network Monitor có trong Windows Server 2003. Do vậy để
cài đặ
t nó bạn chỉ cần chọn Add / Remove Programs từ Control Panel của máy
chủ. Khi bạn thực hiện như vậy, Windows sẽ hiển thị cửa sổ các chương trình
Add / Remove. Kích vào nút Add / Remove Windows Components và đợi một
Simpo PDF Merge and Split Unregistered Version -
chút Windows sẽ khởi chạy Windows Components Wizard. Tìm trong các thành
phần có sẵn tùy chọn Management and Monitoring Tools. Chọn Management
and Monitoring (không chọn hộp kiểm), kích nút Details. Windows sẽ hiển thị
một danh sách các công cụ quản lý và kiểm tra khác nhau. Chọn hộp kiểm
Network Monitor Tools và kích OK. Giờ bạn kích Next và theo các gợi ý để
hoàn tất quá trình cài đặt. Phụ thuộc vào cách máy chủ được cấu hình như thế
nào bạn có thể được yêu cầu để cung cấp đĩa cài đặt Windows Server 2003.

Cài đặt phiên bản đầy đủ - Full

Cài đặt phiên bản đầy đủ của Network Monitor thực sự dễ dàng. Để thực hiện
cài đặt bạn chỉ cần đưa đĩa cài SMS Server 2003 vào ổ CD và điều hướng thông
qua cấu trúc thư mục của CD đến \NETMON\I386. Lúc đó kích đúp file
NETMONSETUP.EXE để khởi động wizard cài đặt.

Kích Next để qua màn hình Welcome screen của wizard, màn hình sẽ hiển thị
thỏa thuận v
ề đăng ký của người dùng. Sau khi chấp nhận thỏa thuận đăng ký,
kích Next, wizard sẽ hiển thị không gian đĩa yêu cầu cho việc cài đặt và các
không gian đĩa đang có trên máy. Sau khi bảo đảm có đủ không gian đĩa trống
cho việc cài đặt bạn kích Next, khi đó Network Monitor sẽ tự động quá trình cài
đặt của nó. Kích Finish để hoàn thiện quá trình cài đặt.


Network Monitor Agent

Network Monitor được thiết kế chủ yếu để kiểm tra lưu lượng m
ạng vào/ra đối
với một máy tính đang chạy nó (ngoại trừ phiên bản Full cho phép kiểm tra toàn
bộ đoạn mạng). Đôi khi bạn lại cần phải thực hiện phân tích chi tiết về lưu lượng
mạng liên quan đến máy tính khác hơn là với chính máy tính đang chạy công cụ
kiểm tra này. Trong trường hợp như vậy, bạn nên cài đặt Network Monitor Agent
(công cụ này cũng được biết đến như Network Monitor driver) vào máy tính mà
bạn muốn kiể
m tra.

Network Monitor driver sẽ được cài đặt tự động khi Network Monitor được cài
đặt. Ví dụ nếu trên máy tính bạn cần kiểm tra không cài đặt Network Monitor thì
Network Monitor driver phải được cài đặt thủ công. Network Monitor driver có thể
tương thích với Windows XP và Windows Server 2003.

Để cài đặt Network Monitor Driver trên máy tính đang chạy hệ điều hành
Windows XP, bạn mở Control Panel, kích vào liên kết Network and Internet
Connections, sau đó là liên kết Network Connections. Lúc này bạn kích chuột
phải vào kết nối mạng tương ứng với NIC mà bạn muốn kiể
m tra và chọn
Properties từ menu chuột phải. Khi cửa sổ thuộc tính của kết nối này xuất hiện,
kích nút Install, ở đây bạn sẽ được hỏi xem có muốn cài đặt Client, Service, hay
Simpo PDF Merge and Split Unregistered Version -
Protocol. Chọn tùy chọn Protocol và kích nút Add. Cuối cùng chọn Network
Monitor Driver từ danh sách các giao thức có sẵn sau đó kích OK. Bạn có thể
được nhắc để cung cấp đĩa cài đặt Windows.


Kết luận

Trong phần 1 này, chúng tôi đã giới thiệu cho bạn công cụ Network Monitor, một
công cụ tuyệt vời dùng để kiểm tra các vấn đề về mạng. Trong bài cũng đưa ra
sự khác nhau giữa hai phiên bản của công cụ này và cuố
i cùng là đi sâu vào quá
trình cài đặt nó. Trong phần 2 chúng tôi sẽ giới thiệu cho các bạn về cách sử
dụng Network Monitor như thế nào, mời các bạn tiếp tục theo dõi trong phần hai.

Simpo PDF Merge and Split Unregistered Version -
Làm việc với Network Monitor (Phần 2)
Ngu

n:quantrimang.com
Brien M. Pose
y
Trong phần thứ nhất chúng tôi đã giới thiệu về sự khác nhau giữa các
phiên bản của Network Monitor và quá trình cài đặt nó. Phần hai này sẽ tiếp
tục thảo luận bằng cách giới thiệu về cách sử dụng công cụ thú vị này.

Như những gì đã giới thiệu trong phần 1, có hai phiên bản khác nhau của công
cụ Network Monitor. Đối với mục đích của bài này chúng tôi sử dụng phiên bản
đầy đủ (Full) cùng với SMS Server 2003 Service Pack 1.

Giao diệ
n Network Monitor

Khi khởi chạy Network Monitor, thứ đầu tiên bạn thấy là một thông báo yêu cầu
lựa chọn giao diện mạng mà bạn muốn capture dữ liệu. Đây là bước quan trọng
bởi vì nếu bỏ mặc lựa chọn giao diện thì Network Monitor sẽ nhặt lấy một giao

diện tùy ý và giao diện này có thể không phải là giao diện mà bạn muốn có.

Kích OK bạn sẽ vào được màn hình giống như hình A dưới đây. Đơn giản hãy
ch
ọn giao diện mạng mà bạn muốn sử dụng sau đó kích OK.

Hình A: Lựa chọn giao diện mạng mà bạn muốn kiểm tra.
Ở đây, Network Monitor sẽ hiển thị màn hình capture chính, được thể hiện trong
hình B.Ttrước khi giới thiệu cho bạn cách sử dụng màn hình này chúng tôi muốn
đề cập rằng Network Monitor chỉ gợi ý chọn mạng mà bạn muốn kiểm tra khi lần
đầu sử dụng nó. Nếu máy tính của bạn chỉ có một adapter m
ạng thì điều này sẽ
không có vấn đề gì. Nếu hệ thống có nhiều đoạn mạng thì bạn có thể kiểm tra
Simpo PDF Merge and Split Unregistered Version -
lưu lượng của tất cả các đoạn mạng đó.

Hình B: Màn hình capture của Network Monitor
Một nhược điểm ở đây là bạn không thể kiểm tra lưu lượng qua các đoạn mạng
một cách đồng thời, nhưng có thể chuyển các đoạn mạng ngay cho dù Network
Monitor không tự động gợi ý về đoạn mạng mà bạn muốn kiểm tra. Để thực hiện
điề
u đó, bạn chỉ cần chọn lệnh Networks từ menu Capture. Lúc này bạn sẽ gặp
màn hình giống như trong hình A. Sự khác nhau lớn nhất giữa hai màn hình này
là màn hình sau có tùy chọn Remote mà bạn có thể sử dụng cho việc capture
các gói dữ liệu từ xa.

Hãy quan sát một chút trong màn hình capture. Như những gì bạn có thể thấy
trong hình, màn hình này có 4 panel khác nhau. Panel ở phần trên trái của cửa
sổ là panel biểu đồ. Panel biểu đồ sẽ hiển thị mức hành động hiện hành bằ
ng đồ

học trong suốt quá trình capture. Nó gồm các biểu đồ hiển thị phần trăm sử dụng
mạng, số khung được capture, số byte được capture, số broadcast và multicast
trên mỗi giây.

Bạn có thể thấy trong hình có một thanh cuộn liên quan đến panel biểu đồ.
Thanh cuộn này dễ bị nhầm lẫn bởi vì không có biểu đồ nào ngoại trừ những cái
được thể hiện trong hình.

Dưới panel biểu đồ là phần panel thống kê session. Panel này đượ
c thiết kế để
hiển thị tổng số lưu lượng đã được capture. Phần này hiển thị các thứ giống như
các địa chỉ mạng của host có liên quan đến trong một tình huống, địa chỉ được
Simpo PDF Merge and Split Unregistered Version -
host khởi tạo cho tình huống này.

Phần dưới của màn hình gồm có panel thống kê session. Panel này hiển thị toàn
bộ thông tin capture. Địa chỉ mạng của mỗi host cũng được hiển thị cùng với số
khung được gửi/nhận, số byte gửi/nhận và số khung, multicast và broadcast có
hướng được gửi đi.

Phần bên phải trên của cửa sổ là panel thống kê toàn bộ. Như tên ngụ ý, panel
này hiển thị các thống kê liên quan đến tất c
ả lưu lượng mạng đã được capture
trọn vẹn. Panel này hiển thị các kiểu thông tin tương tự như thông tin trên panel
khác đã được đề cập đến, tuy nhiên chỉ có một sự khác nhau nhỏ đó là nó không
giảm các thống kê trên mỗi host cơ bản.

Capture lưu lượng mạng

Bây giờ tôi sẽ thao tác trong giao diện này, chúng ta sẽ thực hiện việc capture

lưu lượng mạng. Nếu nhìn vào hình B thì bạn sẽ thấy thanh công cụ
ở trên panel
biểu đồ. Thanh công cụ này được sử dụng để điều khiển quá trình capturre. Các
nút liên quan đến việc capture trên thanh công cụ này được liệt kê dưới đây:
• Capture Data – Capture dữ liệu
• Pause the capture or resume a paused capture – Tạm dừng capture
hay tiếp tục lại capturre đã tạm dừng
• Stop the capture process – Dừng hẳn quá trình capture.
• Stop the capture and view the captured data – Dừng capture và xem
dữ liệu đã capture
• View the captured data – Xem dữ liệu đã capture
• Help – Trợ giúp
Để capture dữ liệu bằng Network Monitor, bạn hãy kích nút Capture Data.
Network Monitor sẽ bắt đầu quá việc capture dữ liệu và sẽ không dừng cho tới
khi dừng hẳn hay tạm dừng. Quá trình capture dữ liệu giống như những gì bạn
thấy trong hình C.
Simpo PDF Merge and Split Unregistered Version -

Hình C: Giao diện Network Monitor khi đang capture dữ liệu
Như những gì thấy trong hình, nó gồm có rất nhiều các thống kê, nhưng không
có dữ liệu thực. Nếu muốn xem dữ liệu đã được capture thì bạn sẽ phải kích vào
nút View Data trên thanh công cụ. Bằng cách đó bạn sẽ thấy được màn hình
giống như hình D.

Hình D: Dữ liệu đã được capture
Simpo PDF Merge and Split Unregistered Version -
Nếu quan sát kỹ hơn về dữ liệu đã được capture thì bạn sẽ thấy những gì
Network Monitor đang hiển thị là toàn bộ các khung riêng lẻ đã được capture.
Màn hình này liệt kê số khung, thời gian mà khung đó được capture, địa chỉ
nguồn và địa chỉ đích, các giao thức được sử dụng… nhưng không hiển thị dữ

liệu trong khung. Tuy nhiên có một cách dễ dàng để xem được các thông tin chi
tiết hơn.

Nếu nhìn vào thanh công c
ụ bạn sẽ thấy có 3 nút có 3 hình chữ nhật:

Các nút này cho phép bạn chuyển tới và lui trong các panel chi tiết, tổng thể và
panel hệ đếm 16. Khi tất cả 3 panel này đều được kích hoạt thì bạn có thể xem
toàn bộ về các khung đã chọn như trong hình E.

Hình E: 3 panel cho thấy được toàn bộ thông tin liên quan đến các khung đã
được chọn.
Như những gì bạn thấy trong hình, panel Details hiển thị thông tin giao thức cho
khung được chọn hiện hành. Khi một khung có nhiều giao thức thì giao thứ
c bên
ngoài cùng được liệt kê đầu tiên. Panel hệ đếm 16 hiển thị dữ liệu thực của
khung. Lưu ý trong hình là chỉ một phần của khung được chọn trong panel
Details. Phần được chọn này sẽ được tô đậm trong panel hệ đếm 16 để giúp
bạn cách ly dữ liệu.

Kết luận

Trong phần hai này chúng tôi đã giới thiệu cho bạn các vấn đề cơ bản trong việc
Simpo PDF Merge and Split Unregistered Version -
sử dụng công cụ Network Monitor. Trong phần 3 chúng tôi sẽ tiếp tục giới thiệu
một capture mẫu đơn giản để hướng dẫn bạn cách phân tích dữ liệu đã
capturre.

Simpo PDF Merge and Split Unregistered Version -
Làm việc với Network Monitor (Phần 3)

Ngu

n:quantrimang.com
Brien M. Pose
y
Trong hai phần trước chúng tôi đã giới thiệu cho các bạn một số kỹ thuật
cơ bản về capture dữ liệu bằng Network Monitor. Phần 3 này sẽ tiếp tục
giới thiệu cách phân tích dữ liệu mà bạn đã capture được.

Với mục đích đơn giản, chúng ta thực hiện thao tác ping đơn giản. Để thực hiện
điều đó bạn phải đăng nhập vào máy chủ mà bạn sẽ
chạy Network Monitor, mở
cửa sổ lệnh. Khi cửa sổ lệnh đã mở, đánh lệnh “PING”, sau đó là một dấu cách
và tên miền đầy đủ hoặc một địa chỉ IP của máy tính trong mạng, nhưng bạn vẫn
chưa nhấn phím Enter lúc này. Mở Network Monitor và chọn lệnh Start từ menu
Capture. Ngay lúc đó chuyển sang cửa sổ lệnh và nhấn Enter để thực thi lệnh
ping. Lệnh này sẽ trả về các kế
t quả như thể hiện trên hình A. Ngay khi lệnh này
kết thúc bạn sẽ chuyển lại màn hình của Network Monitor và chọn lệnh Stop từ
menu Capture. Thực hiện như vậy bạn sẽ capturre được các gói có liên quan
đến lệnh ping, nhưng cũng sẽ capture được một số lưu lượng không liên quan.

Hình A: Các kết quả trả về của lệnh PING
Sau khi bạn dừng quá trình capture, kích vào biểu tượng Display Captured Data
() để có thể xem được dữ liệu đã capture. S
ố lượng dữ liệu thực sự sẽ được
hiển thị thành một phần của quá trình capture, điều đó phụ thuộc vào mạng của
bạn bận như thế nào và lệnh PING mất thời gian bao lâu để hoàn tất. Trên mạng
trong phòng thí nghiệm thì bạn chỉ có thể capture được một số khung trong khi
đó bạn có thể sẽ capture được hầu hết các khung nếu thực hiện capture từ một

Simpo PDF Merge and Split Unregistered Version -
mạng sản xuất. Ví dụ như khi thử thủ tục này trong khi đang viết bài này, tôi đã
capture được gần 6 trăm khung trong vòng 5 giây một lần.

Có nghĩa là nếu bạn đã sử dụng Network Monitor để xử lý một vấn đề của mạng
trong thế giới thực thì sẽ có thể capture được một số dữ liệu không thích hợp.
Biết cách chọn lọc dữ liệu sẽ là một kỹ n
ăng cần thiết bởi khi đó sẽ xác định
được dữ liệu mà bạn thực sự cần quan tâm.

Nếu quan sát hình B bạn sẽ thấy rằng có khá nhiều gói tin đã được capture.
Công việc của chúng ta làm phải lọc được các gói không liên quan đến hành
động mà chúng ta đã thực hiện capture để phân tích các gói đã được capture
một cách dễ dàng hơn.

Hình B: Network Monitor cho thấy cả lưu lượng không liên quan đến việc phân
tích của bạn
Để thự
c hiện điều đó, bạn kích vào biểu tượng Filter trên thanh công cụ. Khi kích
xong, bạn sẽ nhìn thấy một hộp thoại như hình C. Hộp thoại này sẽ cho biết
Network Monitor cho bạn thấy tất cả dữ liệu đã được capture mà không quan
tâm đến giao thức hoặc địa chỉ IP.
Simpo PDF Merge and Split Unregistered Version -

Hình C: Hộp thoại Display Filter
Tuy nhiên chúng ta đã thực hiện PING từ máy tính này sang một máy tính khác
và chúng ta biết được các địa chỉ IP có liên quan đến lệnh PING. Chính vì vậy có
thể lọc được các địa chỉ khác. Để thực hiện điều đó, bạn chọn dòng ANY <->
ANY và kích vào nút Edit Expression. Lúc này sẽ thấy được màn hình tương tự
như hình D.

Simpo PDF Merge and Split Unregistered Version -

Hình D: Hộp thoại Expression cho phép bạn chọn các địa chỉ liên quan đến tình
huống hiện tại
Màn hình này cho phép chọn các địa chỉ của hai máy tính có liên quan đến tình
huống của bạn. Thông thường chỉ cần chọn địa chỉ nguồn và địa chỉ đích, thẩm
định cột hướng (Direction) được thiết lập là <->, sau đó kích OK. Trong trường
hợp riêng này, tất cả mọi thứ đều rất đơn giản.

Bạn s
ẽ thấy được trong hình này có rất nhiều địa chỉ IP có liên quan đến máy
tính thử nghiệm. Điều đó là vì máy tính này là một máy chủ Web và đang quản lý
nhiều website, mỗi một website lại có một địa chỉ riêng. Trong tình huống tương
tự, bạn nên chọn địa chỉ chính của máy tính trừ khi có một lý do riêng để sử
dụng một trong các địa chỉ còn lại.

Một thứ khác ở đây làm cho màn hình hiển thị hơ
i khó hiểu một chút là địa của
chỉ máy đích không được hiển thị. Bạn có thể cố sửa điều này bằng cách kích
nút Edit Addresses. Khi đó sẽ thấy được một danh sách tất cả các địa chỉ từ
danh sách trước đó. Kích vào nút Add bạn sẽ có cơ hội thêm một địa chỉ vào
danh sách. Lưu ý trong hình E là phải chọn kiểu địa chỉ (IP hoặc MAC) mà bạn
muốn bổ sung. Kích OK, sau đó là Close, địa chỉ
sẽ được thêm vào bộ lọc địa
chỉ.
Simpo PDF Merge and Split Unregistered Version -

Hình E: Thêm địa chỉ vào danh sách
Bây giờ bạn chọn các địa chỉ IP có liên quan đến tình huống đã quan tâm, sau
đó kích OK hai lần. Danh sách các khung đã được capture hiện đã được lọc chỉ

hiển thị lưu lượng từ các máy tính được chọn, như hình F.

Hình F: Danh sách dữ liệu đã được capture chỉ hiển thị các khung mà chúng ta
quan tâm
Khi việc capture của chúng ta chỉ liên quan đến lệnh PING thì bạn hoàn toàn sẽ
không bị bất cứ vấn đề gì v
ề việc định vị dữ liệu mà bạn đang tìm kiếm. Trong
thế giới thực, đôi khi xảy ra tình huống dữ liệu mà bạn đang cố gắng capture có
thể không tồn tại bên trong capture. Có hai điều kiện chính có thể gây ra điều
này. Thứ nhất, tại sao file capture của bạn có thể không có dữ liệu mà bạn quan
Simpo PDF Merge and Split Unregistered Version -
tâm là bởi vì hầu hết các công ty đều chuyển từ sử dụng hub sang switch. Trên
mạng có sử dụng hub, mỗi máy tính trên hub nhận cùng một lưu lượng dữ liệu.
Khi máy tính cần truyền thông với một máy tính khác nó sẽ đặt một gói dữ liệu
lên dây và gói dữ liệu này sẽ được luân chuyển đến các máy tính khác có gắn
với hub. Máy tính nhận gói dữ liệu phân biệt gói dữ liệu này bằng cách quan sát
header của mỗi gói, kiểm tra xem đó có phải là gói đượ
c gửi cho mình không.
Nếu địa chỉ đích tương ứng với địa chỉ MAC của máy tính đó thì máy này sẽ mở
gói dữ liệu và tiếp đó là nội dung của nó. Còn trường hợp ngược lại thì nó sẽ bỏ
qua.

Với mạng sử dụng switch thì lại khác. Khi một máy tính gửi đi một gói dữ liệu thì
switch quan sát header của gói để xác định máy tính nào sẽ nhận gói. Sau đó nó
sẽ chuyển tiếp gói tin này đến cổ
ng switch mà máy tính nhận kết nối đến. Các
máy tính khác hoàn toàn không biết đến gói dữ liệu này.

Lý do tại sao các switch lại thay thế hub là bởi vì chúng cho hiệu quả cao hơn và
an toàn hơn. Nếu một hub được sử dụng cho hai máy tính đang muốn gửi dữ

liệu cùng một lúc thì một xung đột sẽ xuất hiện và cả hai gói dữ liệu trong quá
trình này đều bị phá hủy. Hai máy tính đó lại phải đợi một khoảng thời gian ngẫu
nhiên để phát l
ại dữ liệu đã bị xung đột đó. Nếu có nhiều máy tính hơn thì số lần
xung đột xảy ra nhiều hơn và như vậy kéo theo hiệu xuất mạng thấp. Đó chính là
lý do làm cho các công ty chuyển dần sang dùng switch thay cho hub. Các
Switch lại khó khăn cho việc capture dữ liệu với Network Monitor. Lý do ở đây là
với cách các switch làm việc bạn chỉ có thể capture được dữ liệu đã gửi đi hoặc
từ máy tính khác đến máy tính có Network Monitor đang ch
ạy trên nó.

Điều kiện khác có thể làm cho các gói mong muốn không được capture là sử
dụng các máy tính ảo. Nếu một máy chủ đơn cấu hình lên nhiều máy ảo thì lưu
lượng vào các máy tính ảo đó sẽ có thể không được capture bởi vì lưu lượng
giữa các máy tính ảo đã được cấu hình bởi một máy chủ riêng mà không có dây
dẫn. Tuy nhiên bạn cũng có thể cấu hình các máy tính ảo để lưu lượng giữa
chúng rơi vào mạng như
ng điều đó năm ngoài phạm vi của bài này.

Kết luận

Trong bài này chúng tôi đã giới thiệu cho bạn những cần thiết về việc lọc dữ liệu
và tại sao bạn không thể capturer tất cả các dữ liệu đã chọn. Trong phần 4
chúng tôi sẽ tiếp tục giới thiệu cách phân tích dữ liệu đã được lọc.

Simpo PDF Merge and Split Unregistered Version -
Làm việc với Network Monitor (Phần 4)
Ngu

n:quantrimang.com

Brien M. Pose
y
Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn
cách lọc file capture của Network Monitor để chỉ có những truyền thông
giữa các máy chủ mong muốn được hiển thị. Việc lọc ra giao tiếp với các
máy chủ mà bạn không quan tâm thực chất là lọc bỏ “tạp” file capture, tuy
nhiên có thể vẫn có nhiều clutter mà bạn phải phân loại để định vị thông tin
mà bạn quan tâm ở bên trong. Ví dụ, chúng tôi đã thực hiện ping đến m
ột
trong các máy chủ khác trong mạng. Một lệnh ping chuẩn sinh ra 12 gói dữ liệu.
Nếu bạn quan sát trong hình A thì sẽ thấy dù sau khi lọc ra giao tiếp với các máy
chủ khác thì vẫn có nhiều hơn 12 gói dữ liệu được hiển thị tại đây.

Hình A: Khi bạn thực hiện một capture sẽ có rất nhiều clutter cần phân loại
Phần đáng sợ trong capture này là tất cả các gói đó đã được capture trên
khoảng thời gian 5 hoặc 6 giây. Bạn ch
ỉ có thể hình dung bao nhiêu gói sẽ được
capture trong khoảng thời gian lớn hơn, hay có nhiều máy chủ hơn nữa giống
như trong trường hợp của môi trường thực.

Tuy nhiên, cũng có một số thứ khác bạn có thể thực hiện để phân loại clutter.
Trong trường hợp này, chúng tôi quan tâm đến việc xem xét các gói có liên quan
Simpo PDF Merge and Split Unregistered Version -
đến lệnh PING. Bất cứ thời điểm nào bạn thực hiện lệnh PING, Windows sẽ sử
dụng giao thức ICMP. Bằng cách đó chúng ta có thể lọc được danh sách để chỉ
cho ICMP có các gói liên quan được hiển thị.

Lưu ý rằng chúng ta đã lọc được danh sách để quan sát các máy chủ cần thiết.
Để lọc danh sách bởi giao thức, bạn kích vào biểu tượng Filter (biểu tượng trông
như một ống khói). Khi thực hiện thao tác này, b

ạn sẽ thấy hộp thoại Display
Filter được hiển thị như trong hình B.

Hình B: Hộp thoại Display Filter cho phép bạn lọc bằng máy chủ và giao thức
Để lọc bằng giao thức, bạn chọn dòng Protocol==Any, kích nút Edit Expression
(nút này sẽ xuất hiện thay vì nút Change Operator đang được hiển thị trên hình).
Bằng cách thực hiện như vậy, bạn sẽ thấy một màn hình tương tự như trong
hình C. Cửa sổ này sẽ liệt kê tất cả các giao th
ức mà Network Monitor biết đến
cũng như các mô tả vắn tắt về chúng.
Simpo PDF Merge and Split Unregistered Version -

Hình C: Hộp thoại Expression liệt kê các giao thức mà Network Monitor biết đến
Để tạo bộ lọc, đơn giản bạn chỉ cần kích chuột vào nút Disable All. Thực hiện
như vậy sẽ chuyển tất cả các giao thức đã hiển thị trong hình từ danh sách
Enabled Protocols đến Disabled Protocols. Kéo danh sách Disabled Protocols
cho đến khi bạn định vị được giao thức ICMP. Chọn giao thức ICMP và kích nút
Enable. Bằng cách thực hiện như vậy, ICMP sẽ là giao thức được liệt kê trong
danh sách Enabled Protocols. Kích OK hai lần và capture sẽ được lọc để hiển thị
các gói mà bạn quan tâm như trong hình D.
Simpo PDF Merge and Split Unregistered Version -

Hình D: Bạn có thể lọc đồng thời bởi host hay giao thức
Kỹ thuật và chúng tôi giới thiệu cho bạn sẽ làm việc tốt nếu bạn hiểu chính xác
giao thức nào bạn quan tâm đến nó. Đôi khi bạn có thể chỉ cần một cảm nhận
chung về những gì đang diễn ra trong giao tiếp giữa hai máy chủ, và có thể
không cần biết cụ thể giao thức nào liên quan trong tình tình huống giao tiếp đó.
Thậm chí trong một s
ố tình huống, có các kỹ thuật mà bạn có thể sử dụng để
phân loại clutter.


Kỹ thuật giới thiệu cho bạn là kỹ thuật mà chúng tôi đã sử dụng trong môi trường
thực. Ý tưởng đằng sau kỹ thuật này là để lọc các gói “tạp”. Trước khi chúng tôi
giới thiệu cho các bạn kỹ thuật này làm việc như thế nào, chúng tôi muốn đề cập
đến tiêu chuẩn cho việc phân loại một gói thế nào là “tạp”.

Như bạn đã thấy, chúng tôi đã sử dụng một máy tính có tên là FUBAR để thực
hiện lệnh PING đối với một máy chủ có tên là TAZMANIA. Hãy giả sử rằng
chúng ta biết rằng có hai máy tính là máy tính mà chúng ta quan tâm để phân
tích, nhưng chúng ta hãy chuẩn bị trước rằng chúng ta không hiểu ICMP là giao
thức được sử dụng bởi lệnh PING. Trong trường hợp này, thứ đầu tiên mà
chúng ta thực hiện là lọc ra danh sách gói đã được capture để loại ra các tình
huống giao tiế
p với máy chủ khác hơn là những máy chủ mà chúng ta quan tâm.
Để thực hiện như vậy, chúng tôi sẽ sử dụng kỹ thuật tương tự như đã được sử
dụng trong phần 3 và các kết quả sẽ được thể hiện như những gì bạn thấy trong
hình A.

Simpo PDF Merge and Split Unregistered Version -
Khi chúng ta chỉ quan tâm đến việc xem xét các gói ICMP, hãy sử dụng bộ lọc
để loại trừ các gói không phải ICMP. Trong kỹ thuật này, chúng ta sẽ thực hiện
ngược lại. Thay vì việc loại ra các giao thức trừ một giao thức chúng ta sẽ để lại
tất cả các giao thức đã được cho phép ban đầu và sau đó lọc ra các giao thức
riêng khi nhận ra rằng không cần quan tâm đến chúng.

Như những gì bạn thấy trong hình A, một trong các giao thức sẽ sử d
ụng thường
xuyên nhất là TCP. Khi bạn nhìn thấy gói TCP, nó là một đoạn của một thành
phần nào đó được để lại từ một khung khác. Nếu tôi đang cố gắng để hiểu
chung chung về những gì đang xảy ra trong một dấu vết thì thứ đầu tiên mà tôi

thường xuyên thực hiện là lọc ra các gói TCP.

Bạn có thể kích vào biểu tượng bộ lọc để truy cập vào hộp thoại Display Filter.
Kích dòng Protocol==Any và kích nút Edit Expression. Chọ
n giao thức TCP, kích
nút Disable. Tuy nhiên, một lỗi trong phiên bản hiện hành của Network Monitor
sẽ không cho phép bạn thực hiện được điều này. Để thực hiện theo hướng
khác, chúng tôi đã tạo một danh sách cho mỗi giao thức đã được sử dụng
capture. Sau đó vô hiệu hóa tất cả giao thức như kích hoạt các giao thức được
sử dụng cho capture. Từ đó có thể vô hiệu hóa các giao thức. Ví dụ, nếu bạn so
sánh hình E với hình A, bạn s
ẽ thấy chúng tôi đã có thể phân loại dấu vết bằng
cách lọc ra giao thức TCP.

Hình E: Lọc ra các giao thức không liên quan đến những gì bạn đang tìm kiếm
có thể giảm đáng kể số lượng các gói mà bạn phải phân loại
Kết luận
Simpo PDF Merge and Split Unregistered Version -

Trong phần 4 này, chúng tôi đã giới thiệu cho các bạn hai kỹ thuật khác nhau
cho việc cách ly các gói cần thực hiện. Trong phần 5 của loạt bài này chúng tôi
sẽ tiếp tục giới thiệu cách trích dữ liệu từ một khung dữ liệu đã capture.

Simpo PDF Merge and Split Unregistered Version -
Làm việc với Network Monitor (Phần 5)
Ngu

n:quantrimang.com
Brien M. Pose
y


Trong phần trước của loạt bài này, chúng tôi đã minh chứng rằng dù chỉ
capture một mạng đơn giản cũng sẽ cho rất nhiều gói kết quả mà bạn
không thực sự cần thiết. Và cũng đã giới thiệu cho bạn cách lọc ra các gói
“tạp” để chỉ thấy các gói mà bạn thực sự quan tâm. Bây giờ chúng tôi
muốn tiếp tục giới thiệu cách phân tích tỉ mỉ các gói còn lại để bạn có thể

xem dữ liệu trong chúng bao gồm những gì.

Trong phần kết luận của phần trước, tập các gói đã được capture và đã được lọc
sẽ giống như những gì thể hiện trong hình A. Như đã giải thích ở phần đầu của
bài này, chúng tôi đã capture dữ liệu thể hiện trong hình bằng việc bắt đầu
capture, sau đó thực thi lệnh PING và cuối cùng là dừng capture. Mục đích tôi là
làm đơn giả
n mọi thứ nếu có thể. Nếu nhìn vào hình A, bạn có thể thấy vị trí các
gói ICMP đã được phát đi và vị trí các hồi âm đã được nhận.
Simpo PDF Merge and Split Unregistered Version -

Hình 1: Thực sự hữu dụng khi lọc được ra các gói không quan trọng
Nếu đây là một capture trong đời thực thì sẽ không cần thiết phải nghiên cứu
sâu vào dữ liệu bởi vì bạn có thể nói chính xác những gì đang diễn ra bằng cách
quan sát cột Description. Tuy nhiên trong thế giới thực, mọi thứ lại không đơn
giản như vậy. Để xác đinh chính xác những gì đang diễn ra bên trong một dấu
vết cần phải xem xét bên trong các gói d
ữ liệu cụ thể.

Không có gì đặc biệt để giới thiệu cho các bạn trong gói ICMP. Trong trường
hợp này, chúng ta hãy quan sát một số gói LDAP đã được capture. Bạn có thể
đã biết, LDAP là viết tắt của Light Weight Directory Access Protocol. LDAP là
giao thức được sử dụng để đọc thông tin từ Active Directory và cũng ghi thông

tin vào Active Directory.

Có hai lý do chúng tôi muốn giới thiệu cho các bạn cách phân tích một gói LDAP.
Đầu tiên, trong các dấu vết thế giới thực đối với mạng của Windows, các gói
LDAP là một trườ
ng hợp rất chung. Việc tồn tại các gói LDAP một cách chung
như vậy nên bạn sẽ thấy cần thiết để giải mã ý nghĩa của chúng. Lý do thứ hai là
hiểu gói gì đang làm việc. Các công nghệ mà chúng tôi muốn giới thiệu cho các
bạn có thể được sử dụng để xem xét nội dung bên trong các gói, nói như vậy có
nghĩa rằng không phải mọi gói sẽ đều có nghĩa trừ khi bạn là một chuyên gia về
Simpo PDF Merge and Split Unregistered Version -
các giao thức.

Xem xét bên trong một gói

Chúng ta hãy bắt đầu bằng việc xem xét bên trong khung 284. Phần mô tả chỉ
nói đơn giản rằng khung này là một yêu cầu tìm kiếm. Tuy nhiên thực tế lại cho
thấy rằng một máy đang phát ra yêu cầu tìm kiếm LDAP này không thực sự cho
bạn nhiều như vậy. Một cách để biết yêu cầu tìm kiếm này gồm có những gì là
xem xét bên trong gói.

Trước khi mở gói, hãy kích vào các biểu tượng thay đổi panel chi tiết và panel
hex. Khi cả ba panel đượ
c hiển thị, chọn gói mà bạn muốn xem xét. Khi thực
hiện xong việc chọn gói, bạn sẽ thấy một màn hình tương tự như màn hình thể
hiện trong hình B.
Simpo PDF Merge and Split Unregistered Version -

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×