Làm việc với Network Monitor (Phần 4)
Ngu
ồn : quantrimang.com
Brien M. Pose
y
Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn
cách lọc file capture của Network Monitor để chỉ có những truyền thông
giữa các máy chủ mong muốn được hiển thị. Việc lọc ra giao tiếp với các
máy chủ mà bạn không quan tâm thực chất là lọc bỏ “tạp” file capture, tuy
nhiên có thể vẫn có nhiều clutter mà bạn phải phân loại để định vị thông tin
mà bạn quan tâm ở bên trong. Ví dụ, chúng tôi đã thực hiện ping đến m
ột
trong các máy chủ khác trong mạng. Một lệnh ping chuẩn sinh ra 12 gói dữ liệu.
Nếu bạn quan sát trong hình A thì sẽ thấy dù sau khi lọc ra giao tiếp với các máy
chủ khác thì vẫn có nhiều hơn 12 gói dữ liệu được hiển thị tại đây.
Hình A: Khi bạn thực hiện một capture sẽ có rất nhiều clutter cần phân loại
Phần đáng sợ trong capture này là tất cả các gói đó đã được capture trên
khoảng thời gian 5 hoặc 6 giây. Bạn ch
ỉ có thể hình dung bao nhiêu gói sẽ được
capture trong khoảng thời gian lớn hơn, hay có nhiều máy chủ hơn nữa giống
như trong trường hợp của môi trường thực.
Tuy nhiên, cũng có một số thứ khác bạn có thể thực hiện để phân loại clutter.
Trong trường hợp này, chúng tôi quan tâm đến việc xem xét các gói có liên quan
đến lệnh PING. Bất cứ thời điểm nào bạn thực hiện lệnh PING, Windows sẽ sử
dụng giao thức ICMP. Bằng cách đó chúng ta có thể lọc được danh sách để chỉ
cho ICMP có các gói liên quan được hiển thị.
Lưu ý rằng chúng ta đã lọc được danh sách để quan sát các máy chủ cần thiết.
Để lọc danh sách bởi giao thức, bạn kích vào biểu tượng Filter (biểu tượng trông
như một ống khói). Khi thực hiện thao tác này, b
ạn sẽ thấy hộp thoại Display
Filter được hiển thị như trong hình B.
Hình B: Hộp thoại Display Filter cho phép bạn lọc bằng máy chủ và giao thức
Để lọc bằng giao thức, bạn chọn dòng Protocol==Any, kích nút Edit Expression
(nút này sẽ xuất hiện thay vì nút Change Operator đang được hiển thị trên hình).
Bằng cách thực hiện như vậy, bạn sẽ thấy một màn hình tương tự như trong
hình C. Cửa sổ này sẽ liệt kê tất cả các giao th
ức mà Network Monitor biết đến
cũng như các mô tả vắn tắt về chúng.
Hình C: Hộp thoại Expression liệt kê các giao thức mà Network Monitor biết đến
Để tạo bộ lọc, đơn giản bạn chỉ cần kích chuột vào nút Disable All. Thực hiện
như vậy sẽ chuyển tất cả các giao thức đã hiển thị trong hình từ danh sách
Enabled Protocols đến Disabled Protocols. Kéo danh sách Disabled Protocols
cho đến khi bạn định vị được giao thức ICMP. Chọn giao thức ICMP và kích nút
Enable. Bằng cách thực hiện như vậy, ICMP sẽ là giao thức được liệt kê trong
danh sách Enabled Protocols. Kích OK hai lần và capture sẽ được lọc để hiển thị
các gói mà bạn quan tâm như trong hình D.
Hình D: Bạn có thể lọc đồng thời bởi host hay giao thức
Kỹ thuật và chúng tôi giới thiệu cho bạn sẽ làm việc tốt nếu bạn hiểu chính xác
giao thức nào bạn quan tâm đến nó. Đôi khi bạn có thể chỉ cần một cảm nhận
chung về những gì đang diễn ra trong giao tiếp giữa hai máy chủ, và có thể
không cần biết cụ thể giao thức nào liên quan trong tình tình huống giao tiếp đó.
Thậm chí trong một s
ố tình huống, có các kỹ thuật mà bạn có thể sử dụng để
phân loại clutter.
Kỹ thuật giới thiệu cho bạn là kỹ thuật mà chúng tôi đã sử dụng trong môi trường
thực. Ý tưởng đằng sau kỹ thuật này là để lọc các gói “tạp”. Trước khi chúng tôi
giới thiệu cho các bạn kỹ thuật này làm việc như thế nào, chúng tôi muốn đề cập
đến tiêu chuẩn cho việc phân loại một gói thế nào là “tạp”.
Như bạn đã thấy, chúng tôi đã sử dụng một máy tính có tên là FUBAR để thực
hiện lệnh PING đối với một máy chủ có tên là TAZMANIA. Hãy giả sử rằng
chúng ta biết rằng có hai máy tính là máy tính mà chúng ta quan tâm để phân
tích, nhưng chúng ta hãy chuẩn bị trước rằng chúng ta không hiểu ICMP là giao
thức được sử dụng bởi lệnh PING. Trong trường hợp này, thứ đầu tiên mà
chúng ta thực hiện là lọc ra danh sách gói đã được capture để loại ra các tình
huống giao tiế
p với máy chủ khác hơn là những máy chủ mà chúng ta quan tâm.
Để thực hiện như vậy, chúng tôi sẽ sử dụng kỹ thuật tương tự như đã được sử
dụng trong phần 3 và các kết quả sẽ được thể hiện như những gì bạn thấy trong
hình A.
Khi chúng ta chỉ quan tâm đến việc xem xét các gói ICMP, hãy sử dụng bộ lọc
để loại trừ các gói không phải ICMP. Trong kỹ thuật này, chúng ta sẽ thực hiện
ngược lại. Thay vì việc loại ra các giao thức trừ một giao thức chúng ta sẽ để lại
tất cả các giao thức đã được cho phép ban đầu và sau đó lọc ra các giao thức
riêng khi nhận ra rằng không cần quan tâm đến chúng.
Như những gì bạn thấy trong hình A, một trong các giao thức sẽ sử d
ụng thường
xuyên nhất là TCP. Khi bạn nhìn thấy gói TCP, nó là một đoạn của một thành
phần nào đó được để lại từ một khung khác. Nếu tôi đang cố gắng để hiểu
chung chung về những gì đang xảy ra trong một dấu vết thì thứ đầu tiên mà tôi
thường xuyên thực hiện là lọc ra các gói TCP.
Bạn có thể kích vào biểu tượng bộ lọc để truy cập vào hộp thoại Display Filter.
Kích dòng Protocol==Any và kích nút Edit Expression. Chọ
n giao thức TCP, kích
nút Disable. Tuy nhiên, một lỗi trong phiên bản hiện hành của Network Monitor
sẽ không cho phép bạn thực hiện được điều này. Để thực hiện theo hướng
khác, chúng tôi đã tạo một danh sách cho mỗi giao thức đã được sử dụng
capture. Sau đó vô hiệu hóa tất cả giao thức như kích hoạt các giao thức được
sử dụng cho capture. Từ đó có thể vô hiệu hóa các giao thức. Ví dụ, nếu bạn so
sánh hình E với hình A, bạn s
ẽ thấy chúng tôi đã có thể phân loại dấu vết bằng
cách lọc ra giao thức TCP.
Hình E: Lọc ra các giao thức không liên quan đến những gì bạn đang tìm kiếm
có thể giảm đáng kể số lượng các gói mà bạn phải phân loại
Kết luận