Làm việc với Network Monitor (Phần 4) potx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (302.12 KB, 6 trang )
Làm việc với Network Monitor (Phần 4)
Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn cách lọc file
capture của Network Monitor để chỉ có những truyền thông giữa các máy chủ
mong muốn được hiển thị. Việc lọc ra giao tiếp với các máy chủ mà bạn không
quan tâm thực chất là lọc bỏ “tạp” file capture, tuy nhiên có thể vẫn có nhiều
clutter mà bạn phải phân loại để định vị thông tin mà bạn quan tâm ở bên trong. Ví
dụ, chúng tôi đã thực hiện ping đến một trong các máy chủ khác trong mạng. Một
lệnh ping chuẩn sinh ra 12 gói dữ liệu. Nếu bạn quan sát trong hình A thì sẽ thấy
dù sau khi lọc ra giao tiếp với các máy chủ khác thì vẫn có nhiều hơn 12 gói dữ
liệu được hiển thị tại đây.
Hình A: Khi bạn thực hiện một capture sẽ có rất nhiều clutter cần phân loại
Phần đáng sợ trong capture này là tất cả các gói đó đã được capture trên khoảng
thời gian 5 hoặc 6 giây. Bạn chỉ có thể hình dung bao nhiêu gói sẽ được capture
trong khoảng thời gian lớn hơn, hay có nhiều máy chủ hơn nữa giống như trong
trường hợp của môi trường thực.
Tuy nhiên, cũng có một số thứ khác bạn có thể thực hiện để phân loại clutter.
Trong trường hợp này, chúng tôi quan tâm đến việc xem xét các gói có liên quan
đến lệnh PING. Bất cứ thời điểm nào bạn thực hiện lệnh PING, Windows sẽ sử
dụng giao thức ICMP. Bằng cách đó chúng ta có thể lọc được danh sách để chỉ cho
ICMP có các gói liên quan được hiển thị.
Lưu ý rằng chúng ta đã lọc được danh sách để quan sát các máy chủ cần thiết. Để
lọc danh sách bởi giao thức, bạn kích vào biểu tượng Filter (biểu tượng trông như
một ống khói). Khi thực hiện thao tác này, bạn sẽ thấy hộp thoại Display Filter
được hiển thị như trong hình B.
Hình B: Hộp thoại Display Filter cho phép bạn lọc bằng máy chủ và giao thức
Để lọc bằng giao thức, bạn chọn dòng Protocol==Any, kích nút Edit Expression
(nút này sẽ xuất hiện thay vì nút Change Operator đang được hiển thị trên hình).
Bằng cách thực hiện như vậy, bạn sẽ thấy một màn hình tương tự như trong hình
C. Cửa sổ này sẽ liệt kê tất cả các giao thức mà Network Monitor biết đến cũng
như các mô tả vắn tắt về chúng.
Hình C: Hộp thoại Expression liệt kê các giao thức mà Network Monitor biết đến
Để tạo bộ lọc, đơn giản bạn chỉ cần kích chuột vào nút Disable All. Thực hiện như
vậy sẽ chuyển tất cả các giao thức đã hiển thị trong hình từ danh sách Enabled
Protocols đến Disabled Protocols. Kéo danh sách Disabled Protocols cho đến khi
bạn định vị được giao thức ICMP. Chọn giao thức ICMP và kích nút Enable. Bằng
cách thực hiện như vậy, ICMP sẽ là giao thức được liệt kê trong danh sách Enabled
Protocols. Kích OK hai lần và capture sẽ được lọc để hiển thị các gói mà bạn quan
tâm như trong hình D.
Hình D: Bạn có thể lọc đồng thời bởi host hay giao thức
Kỹ thuật và chúng tôi giới thiệu cho bạn sẽ làm việc tốt nếu bạn hiểu chính xác
giao thức nào bạn quan tâm đến nó. Đôi khi bạn có thể chỉ cần một cảm nhận
chung về những gì đang diễn ra trong giao tiếp giữa hai máy chủ, và có thể không
cần biết cụ thể giao thức nào liên quan trong tình tình huống giao tiếp đó. Thậm chí
trong một số tình huống, có các kỹ thuật mà bạn có thể sử dụng để phân loại
clutter.
Kỹ thuật giới thiệu cho bạn là kỹ thuật mà chúng tôi đã sử dụng trong môi trường
thực. Ý tưởng đằng sau kỹ thuật này là để lọc các gói “tạp”. Trước khi chúng tôi
giới thiệu cho các bạn kỹ thuật này làm việc như thế nào, chúng tôi muốn đề cập
đến tiêu chuẩn cho việc phân loại một gói thế nào là “tạp”.
Như bạn đã thấy, chúng tôi đã sử dụng một máy tính có tên là FUBAR để thực
hiện lệnh PING đối với một máy chủ có tên là TAZMANIA. Hãy giả sử rằng
chúng ta biết rằng có hai máy tính là máy tính mà chúng ta quan tâm để phân tích,
nhưng chúng ta hãy chuẩn bị trước rằng chúng ta không hiểu ICMP là giao thức
được sử dụng bởi lệnh PING. Trong trường hợp này, thứ đầu tiên mà chúng ta thực
hiện là lọc ra danh sách gói đã được capture để loại ra các tình huống giao tiếp với
máy chủ khác hơn là những máy chủ mà chúng ta quan tâm. Để thực hiện như vậy,
chúng tôi sẽ sử dụng kỹ thuật tương tự như đã được sử dụng trong phần 3 và các
kết quả sẽ được thể hiện như những gì bạn thấy trong hình A.
Khi chúng ta chỉ quan tâm đến việc xem xét các gói ICMP, hãy sử dụng bộ lọc để
loại trừ các gói không phải ICMP. Trong kỹ thuật này, chúng ta sẽ thực hiện ngược
lại. Thay vì việc loại ra các giao thức trừ một giao thức chúng ta sẽ để lại tất cả các
giao thức đã được cho phép ban đầu và sau đó lọc ra các giao thức riêng khi nhận
ra rằng không cần quan tâm đến chúng.
Như những gì bạn thấy trong hình A, một trong các giao thức sẽ sử dụng thường
xuyên nhất là TCP. Khi bạn nhìn thấy gói TCP, nó là một đoạn của một thành phần
nào đó được để lại từ một khung khác. Nếu tôi đang cố gắng để hiểu chung chung
về những gì đang xảy ra trong một dấu vết thì thứ đầu tiên mà tôi thường xuyên
thực hiện là lọc ra các gói TCP.
Bạn có thể kích vào biểu tượng bộ lọc để truy cập vào hộp thoại Display Filter.
Kích dòng Protocol==Any và kích nút Edit Expression. Chọn giao thức TCP, kích
nút Disable. Tuy nhiên, một lỗi trong phiên bản hiện hành của Network Monitor sẽ
không cho phép bạn thực hiện được điều này. Để thực hiện theo hướng khác,
chúng tôi đã tạo một danh sách cho mỗi giao thức đã được sử dụng capture. Sau đó
vô hiệu hóa tất cả giao thức như kích hoạt các giao thức được sử dụng cho capture.
Từ đó có thể vô hiệu hóa các giao thức. Ví dụ, nếu bạn so sánh hình E với hình A,
bạn sẽ thấy chúng tôi đã có thể phân loại dấu vết bằng cách lọc ra giao thức TCP.
Hình E: Lọc ra các giao thức không liên quan đến những gì bạn đang tìm kiếm
có thể giảm đáng kể số lượng các gói mà bạn phải phân loại
Kết luận
Trong phần 4 này, chúng tôi đã giới thiệu cho các bạn hai kỹ thuật khác nhau cho
việc cách ly các gói cần thực hiện. Trong phần 5 của loạt bài này chúng tôi sẽ tiếp
tục giới thiệu cách trích dữ liệu từ một khung dữ liệu đã capture.
