Kiểm tra mạng bằng Network Monitor 3.4 – Phần 1 docx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (214.5 KB, 5 trang )
Kiểm tra mạng bằng Network Monitor 3.4 – Phần 1
Trong bài này chúng tôi sẽ giới thiệu cho các bạn về công cụ kiểm tra
mạng Network Monitor 3.4 và sự hữu dụng của nó trong việc khắc
phục sự cố cũng như phân tích lưu lượng mạng.
Phân tích lưu lượng mạng ngày nay trở thành một vấn đề cực kỳ quan
trọng vì các ngăn xếp giao thức mạng đã lần đến các giao thức web có
khả năng định tuyến và NAT. Network Monitor là một bộ phân tích giao
thức và một công cụ capture các khung dữ liệu giúp người dùng nhằm
phát hiện và kiểm tra các kiểu giao thức phức tạp này, nó thực sự là một
công cụ quan trọng trong toolbox của các quản trị viên và nhân viên bản
mật mạng.
Nếu quan tâm đến việc truyền tải các dữ liệu nhạy cảm hoặc tải trọng
được đóng gói, bạn sẽ biết được nhiều hơn về mạng của mình. Các công
cụ giống như IPS, IDS và các tường lửa cũng rất hiệu quả nhưng chúng
không mô tả chi tiết gói dữ liệu ở mức mà bạn cần biết. Có rất nhiều công
cụ phát hiện gói dữ liệu thu phí hoặc miễn phí, tuy nhiên bài viết này
chúng tôi sẽ tập trung vào một công cụ miễn phí, đó là Network Monitor
3.4.
Bộ phân tích giao thức là gì? (Protocol Analyser)
Đây là một ứng dụng hoặc một mẩu phần cứng có khả năng capture lưu
lượng mạng và phân tích dữ liệu đi qua nó, cho đầu ra dưới định dạng dễ
đọc đối với con người.
Về công cụ này
Các chi tiết kỹ thuật phần cứng: Network Monitor 3.4 yêu cầu tối thiểu bộ
vi xử lý 1GHz, 1GB RAM, 60MB ổ cứng cho việc capture.
Chương trình có thể được cài đặt trên các nền tảng x86 và 64bit, gồm có
các chipset Itainum đang chạy windows XP và phiên bản cao hơn.
Khi đã download và cài đặt ứng dụng từ website của Microsoft, bạn hoàn
toàn có thể thực hiện việc capture.
Bạn có thể chọn các giao diện muốn lắng nghe lưu lượng trên nó. Kinh
nghiệm cho thấy là chúng ta nên bắt đầu ở mức tối thiểu trước để bảo
đảm không bị choáng ngập khi gặp quá nhiều lưu lượng qua máy. Sau đó
bạn có thể thay đổi thiết lập này và bổ sung thêm các giao diện khác nếu
cần.
Một trong những tính năng thú vị nhất của sản phẩm là khả năng kiểm tra
lưu lượng và kết hợp nó với quá trình đang chạy, từ đó quản trị viên có
thể phân biệt một cách nhanh chóng ứng dụng đang trao đổi với máy và
kiểu lưu lượng được gửi qua mà không cần phải bò trườn qua hàng tấn
lưu lượng khó hiểu.
Hình 1: Hình trên mô tả một cuộc trò chuyện của skype
Bạn có thể lọc lưu lượng của một cuộc trò chuyện nào đó tại một thời
điểm. Điều này có thể thấy trong hình trên qua ID cuộc trò chuyện
(ConvID) 468. Khi mở rộng các khung trong cuộc trò chuyện, bạn có thể
kiểm nghiệm lại điều đó.
Người dùng cũng hoàn toàn có thể mã màu lưu lượng cho các bộ lọc, đặt
lưu lượng nguồn một màu, lưu lượng đáp trả ở một màu khác để có thể
phân biệt được ai đã nói những gì.
Ngoài ra người dùng còn có khả năng thiết lập để NM3.4 có thể capture
lưu lượng trong một đường hầm VPN nào đó. Đây là một điều hết sức
hữu dụng khi khắc phục sự cố các VPN.
Một thứ thú vị khác ở công cụ này là dữ liệu hoàn toàn sống, như những
gì mà bạn thấy nó trong giao diện. Dữ liệu này có thể được lưu lại trong
một file nào đó và có thể được gửi đến ai đó nếu bạn cần chia sẻ đầu ra
của quá trình phân tích. Bạn cũng có thể chọn một dải các khung. Dải các
khung được chọn này có thể được lưu lại và được gửi đến một hãng thứ
ba khác nhờ phân tích thay vì gửi toàn bộ dữ liệu được capture.
Dữ liệu cũng có thể được copy trực tiếp vào excel nhằm mục đích phân
tích và lập biểu đồ, ngoài ra cũng có thể áp dụng tương tự cho word và
các bảng có thể được tạo nhanh chóng cho các trường hợp chi tiết. Điều
này cho phép dễ dàng quản lý dữ liệu và dễ dàng trong trình bày.
Tạo một bộ lọc màu sắc
Việc tạo các bộ lọc hoàn toàn đơn giản. Một bộ lọc màu sắc là một sự kết
hợp giữa một quá trình nào đó và một màu. Cho ví dụ bạn muốn thấy tất
cả các lưu lượng của IE trong khung nhìn thời gian thực có màu xanh và
lưu lượng của Firefox là màu đỏ. Tất cả những gì bạn cần ở đây là mở
rộng quá trình trong cửa sổ các cuộc trò chuyện ở bên trái và chọn lưu
lượng trong khung tóm tắt bên phải, kích phải vào khung (trên cột quá
trình), kích Add “process name” as colour rule, thiết lập màu và tất cả
lưu lượng sẽ xuất hiện màu xanh cho quá trình IE.
Hình 2: Nhớ kích cột tên quá trình (Process Name)
Hình 3: Chọn màu để kết hợp với quá trình IE, sau đó kích OK và OK
Hình 4: Trong khung nhìn lưu lượng thời gian thực, bạn sẽ thấy luồng lưu
lượng có màu xanh
Điều này cho phép người dùng dễ dàng phân biệt lưu lượng khi các gói
dữ liệu vào ra với tốc độ cao.
Tiện ích dòng lệnh
Đường dẫn C:\Program Files\Microsoft Network Monitor 3>
Công cụ này có thể được sử dụng trong tiện ích dòng lệnh và được gọi là
NMcap.exe, nó được cài đặt trong đường dẫn hệ điều hành. Chế độ này
có thể capture với hiệu suất cao và rất hữu dụng khi lập kịch bản cho
công cụ và các lệnh.
Các lệnh đơn giản như nmcap * /capture /file test_capture.cap có thể
capture tất cả lưu lượng từ tất cả các giao diện và lưu dữ liệu đã được
capture vào một file mang tên test_capture.cap. Các bộ lọc cũng có thể
được áp dụng cho lệnh này để chỉ chúng ta chỉ capture các lưu lượng có
liên quan.
Tiện ích dòng lệnh được sử dụng trong nhiều trường hợp, cho ví dụ, bạn
có thể áp dụng điều này tại một site khách hàng và nhận được đầu ra cho
mục đích phân tích từ xa. Bất kỳ bộ lọc nào được sử dụng trong giao diện
người dùng đều có thể được sử dụng với tiện ích dòng lệnh, bạn chỉ cần
nhớ thêm các dấu trích dẫn.
Khi sử dụng công cụ này, tốt nhất bạn nên thiết lập kích thước capture,
đầu tiên nên giữ ở mức có thể quản lý để bảo đảm dữ liệu capture không
làm đầy ổ đĩa cứng.
Một trong những tham số hữu dụng nhất là terminationwhencommand,
điều này cho phép quản trị viên có thể lập kịch bản để ngắt quá trình
capture sau một quãng thời gian nào đó hoặc khi có một sự kiện nhấn
phím xảy ra.
Để nhập danh sách các tham số, bạn chỉ cần đánh Nmcap.exe /help
Phân tích cú pháp
Phân tích cú pháp được cung cấp cho tất cả các giao thức Windows và
cho các giao thức chung nhất. Có nhiều cú pháp có sẵn và bạn có thể
nhanh chóng tạo riêng cho mình một cú pháp nào đó. Các file này có đuôi
.npl và có thể được biên dịch nguyên bản bằng công cụ.
