Làm việc với Network Monitor (Phần 5)
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (530.26 KB, 7 trang )
Làm việc với Network Monitor (Phần 5)
Ngu
ồn : quantrimang.com
Brien M. Pose
y
Trong phần trước của loạt bài này, chúng tôi đã minh chứng rằng dù chỉ
capture một mạng đơn giản cũng sẽ cho rất nhiều gói kết quả mà bạn
không thực sự cần thiết. Và cũng đã giới thiệu cho bạn cách lọc ra các gói
“tạp” để chỉ thấy các gói mà bạn thực sự quan tâm. Bây giờ chúng tôi
muốn tiếp tục giới thiệu cách phân tích tỉ mỉ các gói còn lại để bạn có thể
xem dữ liệu trong chúng bao gồm những gì.
Trong phần kết luận của phần trước, tập các gói đã được capture và đã được lọc
sẽ giống như những gì thể hiện trong hình A. Như đã giải thích ở phần đầu của
bài này, chúng tôi đã capture dữ liệu thể hiện trong hình bằng việc bắt đầu
capture, sau đó thực thi lệnh PING và cuối cùng là dừng capture. Mục đích tôi là
làm đơn giả
n mọi thứ nếu có thể. Nếu nhìn vào hình A, bạn có thể thấy vị trí các
gói ICMP đã được phát đi và vị trí các hồi âm đã được nhận.
Hình 1: Thực sự hữu dụng khi lọc được ra các gói không quan trọng
Nếu đây là một capture trong đời thực thì sẽ không cần thiết phải nghiên cứu
sâu vào dữ liệu bởi vì bạn có thể nói chính xác những gì đang diễn ra bằng cách
quan sát cột Description. Tuy nhiên trong thế giới thực, mọi thứ lại không đơn
giản như vậy. Để xác đinh chính xác những gì đang diễn ra bên trong một dấu
vết cần phải xem xét bên trong các gói d
ữ liệu cụ thể.
Không có gì đặc biệt để giới thiệu cho các bạn trong gói ICMP. Trong trường
hợp này, chúng ta hãy quan sát một số gói LDAP đã được capture. Bạn có thể
đã biết, LDAP là viết tắt của Light Weight Directory Access Protocol. LDAP là
giao thức được sử dụng để đọc thông tin từ Active Directory và cũng ghi thông
tin vào Active Directory.
Có hai lý do chúng tôi muốn giới thiệu cho các bạn cách phân tích một gói LDAP.
Đầu tiên, trong các dấu vết thế giới thực đối với mạng của Windows, các gói
LDAP là một trườ
ng hợp rất chung. Việc tồn tại các gói LDAP một cách chung
như vậy nên bạn sẽ thấy cần thiết để giải mã ý nghĩa của chúng. Lý do thứ hai là
hiểu gói gì đang làm việc. Các công nghệ mà chúng tôi muốn giới thiệu cho các
bạn có thể được sử dụng để xem xét nội dung bên trong các gói, nói như vậy có
nghĩa rằng không phải mọi gói sẽ đều có nghĩa trừ khi bạn là một chuyên gia về
các giao thức.
Xem xét bên trong một gói
Chúng ta hãy bắt đầu bằng việc xem xét bên trong khung 284. Phần mô tả chỉ
nói đơn giản rằng khung này là một yêu cầu tìm kiếm. Tuy nhiên thực tế lại cho
thấy rằng một máy đang phát ra yêu cầu tìm kiếm LDAP này không thực sự cho
bạn nhiều như vậy. Một cách để biết yêu cầu tìm kiếm này gồm có những gì là
xem xét bên trong gói.
Trước khi mở gói, hãy kích vào các biểu tượng thay đổi panel chi tiết và panel
hex. Khi cả ba panel đượ
c hiển thị, chọn gói mà bạn muốn xem xét. Khi thực
hiện xong việc chọn gói, bạn sẽ thấy một màn hình tương tự như màn hình thể
hiện trong hình B.
Hình B: Nội dung bên trong một gói
Thứ đầu tiên cần lưu tâm là panel chi tiết. Nếu quan sát panel này bạn sẽ thấy
được rằng có một số mục khác nhau có khả năng mở rộng (Frame, Ethernet, IP,
TCP và LDAP). Lý do cho các mục khác nhau ở đây là vì các gói có thứ bậc điển
hình nguyên thủy. Gói mà chúng ta đang xem xét là một gói LDAP, tuy nhiên các
máy tính không đề cập một cách nguyên thủy với LDAP. LDAP được dựa trên
giao thức TCP. TCP lại là một phần nhỏ của giao thức IP. Mỗi mục trong panel
chi tiết
đều thể hiện một lớp tóm lược riêng.
Nếu quan sát panel hex, bạn sẽ thấy nội dung các gói được thể hiện dưới dạng
hexa. Lưu ý rằng mỗi byte được đánh dấu bằng màu đen. Lý do cho việc đánh
dấu này là vì các byte được đánh dấu màu đen tương ứng với phần của gói
được chọn trong panel chi tiết. Trong trường hợp riêng này, mục FRAME được
chọn. Mục này thể hiện toàn bộ khung,
điều đó giải thích cho tại sao toàn bộ
khung đều được bôi đen. Nếu chúng tôi chọn mục LDAP thì chỉ có các byte
tương ứng với dữ liệu LDAP mới được bôi đen như trong hình C.
