Trong bài này chúng tôi sẽ giới thiệu cho các
bạn về công cụ kiểm tra mạng Network Monitor 3.4 và sự hữu dụng của nó
trong việc khắc phục sự cố cũng như phân tích lưu lượng mạng.
Phân tích lưu lượng mạng ngày nay trở thành một vấn
đề cực kỳ quan trọng vì các ngăn xếp giao thức mạng đã lần đến các giao
thức web có khả năng định tuyến và NAT. Network Monitor là một bộ phân
tích giao thức và một công cụ capture các khung dữ liệu giúp người dùng
nhằm phát hiện và kiểm tra các kiểu giao thức phức tạp này, nó thực sự
là một công cụ quan trọng trong toolbox của các quản trị viên và nhân
viên bản mật mạng.
Nếu quan tâm đến việc truyền tải các dữ liệu nhạy cảm
hoặc tải trọng được đóng gói, bạn sẽ biết được nhiều hơn về mạng của
mình. Các công cụ giống như IPS, IDS và các tường lửa cũng rất hiệu quả
nhưng chúng không mô tả chi tiết gói dữ liệu ở mức mà bạn cần biết. Có
rất nhiều công cụ phát hiện gói dữ liệu thu phí hoặc miễn phí, tuy nhiên
bài viết này chúng tôi sẽ tập trung vào một công cụ miễn phí, đó là
Network Monitor 3.4.
Bộ phân tích giao thức là gì? (Protocol Analyser)
Đây là một ứng dụng hoặc một mẩu phần cứng có khả
năng capture lưu lượng mạng và phân tích dữ liệu đi qua nó, cho đầu ra
dưới định dạng dễ đọc đối với con người.
Về công cụ này
Các chi tiết kỹ thuật phần cứng: Network Monitor 3.4 yêu cầu tối thiểu bộ vi xử lý 1GHz, 1GB RAM, 60MB ổ cứng cho việc capture.
Chương trình có thể được cài đặt trên các nền tảng
x86 và 64bit, gồm có các chipset Itainum đang chạy windows XP và phiên
bản cao hơn.
Khi đã download và cài đặt ứng dụng từ website của Microsoft, bạn hoàn toàn có thể thực hiện việc capture.
Bạn có thể chọn các giao diện muốn lắng nghe lưu
lượng trên nó. Kinh nghiệm cho thấy là chúng ta nên bắt đầu ở mức tối
thiểu trước để bảo đảm không bị choáng ngập khi gặp quá nhiều lưu lượng
qua máy. Sau đó bạn có thể thay đổi thiết lập này và bổ sung thêm các
giao diện khác nếu cần.
Một trong những tính năng thú vị nhất của sản phẩm là
khả năng kiểm tra lưu lượng và kết hợp nó với quá trình đang chạy, từ
đó quản trị viên có thể phân biệt một cách nhanh chóng ứng dụng đang
trao đổi với máy và kiểu lưu lượng được gửi qua mà không cần phải bò
trườn qua hàng tấn lưu lượng khó hiểu.
Hình 1: Hình trên mô tả một cuộc trò chuyện của skype
Bạn có thể lọc lưu lượng của một cuộc trò chuyện nào
đó tại một thời điểm. Điều này có thể thấy trong hình trên qua ID cuộc
trò chuyện (ConvID) 468. Khi mở rộng các khung trong cuộc trò chuyện,
bạn có thể kiểm nghiệm lại điều đó.
Người dùng cũng hoàn toàn có thể mã màu lưu lượng cho
các bộ lọc, đặt lưu lượng nguồn một màu, lưu lượng đáp trả ở một màu
khác để có thể phân biệt được ai đã nói những gì.
Ngoài ra người dùng còn có khả năng thiết lập để
NM3.4 có thể capture lưu lượng trong một đường hầm VPN nào đó. Đây là
một điều hết sức hữu dụng khi khắc phục sự cố các VPN.
Một thứ thú vị khác ở công cụ này là dữ liệu hoàn
toàn sống, như những gì mà bạn thấy nó trong giao diện. Dữ liệu này có
thể được lưu lại trong một file nào đó và có thể được gửi đến ai đó nếu
bạn cần chia sẻ đầu ra của quá trình phân tích. Bạn cũng có thể chọn một
dải các khung. Dải các khung được chọn này có thể được lưu lại và được
gửi đến một hãng thứ ba khác nhờ phân tích thay vì gửi toàn bộ dữ liệu
được capture.
Dữ liệu cũng có thể được copy trực tiếp vào excel
nhằm mục đích phân tích và lập biểu đồ, ngoài ra cũng có thể áp dụng
tương tự cho word và các bảng có thể được tạo nhanh chóng cho các trường
hợp chi tiết. Điều này cho phép dễ dàng quản lý dữ liệu và dễ dàng
trong trình bày.
Tạo một bộ lọc màu sắc
Việc tạo các bộ lọc hoàn toàn đơn giản. Một bộ lọc
màu sắc là một sự kết hợp giữa một quá trình nào đó và một màu. Cho ví
dụ bạn muốn thấy tất cả các lưu lượng của IE trong khung nhìn thời gian
thực có màu xanh và lưu lượng của Firefox là màu đỏ. Tất cả những gì bạn
cần ở đây là mở rộng quá trình trong cửa sổ các cuộc trò chuyện ở bên
trái và chọn lưu lượng trong khung tóm tắt bên phải, kích phải vào khung
(trên cột quá trình), kích Add “process name” as colour rule, thiết lập màu và tất cả lưu lượng sẽ xuất hiện màu xanh cho quá trình IE.
Hình 2: Nhớ kích cột tên quá trình (Process Name)
Hình 3: Chọn màu để kết hợp với quá trình IE, sau đó kích OK và OK
Hình 4: Trong khung nhìn lưu lượng thời gian thực, bạn sẽ thấy luồng lưu lượng có màu xanh
Điều này cho phép người dùng dễ dàng phân biệt lưu lượng khi các gói dữ liệu vào ra với tốc độ cao.
Tiện ích dòng lệnh
Đường dẫn C:\Program Files\Microsoft Network Monitor 3>
Công cụ này có thể được sử dụng trong tiện ích dòng
lệnh và được gọi là NMcap.exe, nó được cài đặt trong đường dẫn hệ điều
hành. Chế độ này có thể capture với hiệu suất cao và rất hữu dụng khi
lập kịch bản cho công cụ và các lệnh.
Các lệnh đơn giản như nmcap * /capture /file
test_capture.cap có thể capture tất cả lưu lượng từ tất cả các giao diện
và lưu dữ liệu đã được capture vào một file mang tên test_capture.cap.
Các bộ lọc cũng có thể được áp dụng cho lệnh này để chỉ chúng ta chỉ
capture các lưu lượng có liên quan.
Tiện ích dòng lệnh được sử dụng trong nhiều trường
hợp, cho ví dụ, bạn có thể áp dụng điều này tại một site khách hàng và
nhận được đầu ra cho mục đích phân tích từ xa. Bất kỳ bộ lọc nào được sử
dụng trong giao diện người dùng đều có thể được sử dụng với tiện ích
dòng lệnh, bạn chỉ cần nhớ thêm các dấu trích dẫn.
Khi sử dụng công cụ này, tốt nhất bạn nên thiết lập
kích thước capture, đầu tiên nên giữ ở mức có thể quản lý để bảo đảm dữ
liệu capture không làm đầy ổ đĩa cứng.
Một trong những tham số hữu dụng nhất là
terminationwhencommand, điều này cho phép quản trị viên có thể lập kịch
bản để ngắt quá trình capture sau một quãng thời gian nào đó hoặc khi có
một sự kiện nhấn phím xảy ra.
Để nhập danh sách các tham số, bạn chỉ cần đánh Nmcap.exe /help
Phân tích cú pháp
Phân tích cú pháp được cung cấp cho tất cả các giao
thức Windows và cho các giao thức chung nhất. Có nhiều cú pháp có sẵn và
bạn có thể nhanh chóng tạo riêng cho mình một cú pháp nào đó. Các file
này có đuôi .npl và có thể được biên dịch nguyên bản bằng công cụ.
bạn về công cụ kiểm tra mạng Network Monitor 3.4 và sự hữu dụng của nó
trong việc khắc phục sự cố cũng như phân tích lưu lượng mạng.
Phân tích lưu lượng mạng ngày nay trở thành một vấn
đề cực kỳ quan trọng vì các ngăn xếp giao thức mạng đã lần đến các giao
thức web có khả năng định tuyến và NAT. Network Monitor là một bộ phân
tích giao thức và một công cụ capture các khung dữ liệu giúp người dùng
nhằm phát hiện và kiểm tra các kiểu giao thức phức tạp này, nó thực sự
là một công cụ quan trọng trong toolbox của các quản trị viên và nhân
viên bản mật mạng.
Nếu quan tâm đến việc truyền tải các dữ liệu nhạy cảm
hoặc tải trọng được đóng gói, bạn sẽ biết được nhiều hơn về mạng của
mình. Các công cụ giống như IPS, IDS và các tường lửa cũng rất hiệu quả
nhưng chúng không mô tả chi tiết gói dữ liệu ở mức mà bạn cần biết. Có
rất nhiều công cụ phát hiện gói dữ liệu thu phí hoặc miễn phí, tuy nhiên
bài viết này chúng tôi sẽ tập trung vào một công cụ miễn phí, đó là
Network Monitor 3.4.
Bộ phân tích giao thức là gì? (Protocol Analyser)
Đây là một ứng dụng hoặc một mẩu phần cứng có khả
năng capture lưu lượng mạng và phân tích dữ liệu đi qua nó, cho đầu ra
dưới định dạng dễ đọc đối với con người.
Về công cụ này
Các chi tiết kỹ thuật phần cứng: Network Monitor 3.4 yêu cầu tối thiểu bộ vi xử lý 1GHz, 1GB RAM, 60MB ổ cứng cho việc capture.
Chương trình có thể được cài đặt trên các nền tảng
x86 và 64bit, gồm có các chipset Itainum đang chạy windows XP và phiên
bản cao hơn.
Khi đã download và cài đặt ứng dụng từ website của Microsoft, bạn hoàn toàn có thể thực hiện việc capture.
Bạn có thể chọn các giao diện muốn lắng nghe lưu
lượng trên nó. Kinh nghiệm cho thấy là chúng ta nên bắt đầu ở mức tối
thiểu trước để bảo đảm không bị choáng ngập khi gặp quá nhiều lưu lượng
qua máy. Sau đó bạn có thể thay đổi thiết lập này và bổ sung thêm các
giao diện khác nếu cần.
Một trong những tính năng thú vị nhất của sản phẩm là
khả năng kiểm tra lưu lượng và kết hợp nó với quá trình đang chạy, từ
đó quản trị viên có thể phân biệt một cách nhanh chóng ứng dụng đang
trao đổi với máy và kiểu lưu lượng được gửi qua mà không cần phải bò
trườn qua hàng tấn lưu lượng khó hiểu.
Hình 1: Hình trên mô tả một cuộc trò chuyện của skype
Bạn có thể lọc lưu lượng của một cuộc trò chuyện nào
đó tại một thời điểm. Điều này có thể thấy trong hình trên qua ID cuộc
trò chuyện (ConvID) 468. Khi mở rộng các khung trong cuộc trò chuyện,
bạn có thể kiểm nghiệm lại điều đó.
Người dùng cũng hoàn toàn có thể mã màu lưu lượng cho
các bộ lọc, đặt lưu lượng nguồn một màu, lưu lượng đáp trả ở một màu
khác để có thể phân biệt được ai đã nói những gì.
Ngoài ra người dùng còn có khả năng thiết lập để
NM3.4 có thể capture lưu lượng trong một đường hầm VPN nào đó. Đây là
một điều hết sức hữu dụng khi khắc phục sự cố các VPN.
Một thứ thú vị khác ở công cụ này là dữ liệu hoàn
toàn sống, như những gì mà bạn thấy nó trong giao diện. Dữ liệu này có
thể được lưu lại trong một file nào đó và có thể được gửi đến ai đó nếu
bạn cần chia sẻ đầu ra của quá trình phân tích. Bạn cũng có thể chọn một
dải các khung. Dải các khung được chọn này có thể được lưu lại và được
gửi đến một hãng thứ ba khác nhờ phân tích thay vì gửi toàn bộ dữ liệu
được capture.
Dữ liệu cũng có thể được copy trực tiếp vào excel
nhằm mục đích phân tích và lập biểu đồ, ngoài ra cũng có thể áp dụng
tương tự cho word và các bảng có thể được tạo nhanh chóng cho các trường
hợp chi tiết. Điều này cho phép dễ dàng quản lý dữ liệu và dễ dàng
trong trình bày.
Tạo một bộ lọc màu sắc
Việc tạo các bộ lọc hoàn toàn đơn giản. Một bộ lọc
màu sắc là một sự kết hợp giữa một quá trình nào đó và một màu. Cho ví
dụ bạn muốn thấy tất cả các lưu lượng của IE trong khung nhìn thời gian
thực có màu xanh và lưu lượng của Firefox là màu đỏ. Tất cả những gì bạn
cần ở đây là mở rộng quá trình trong cửa sổ các cuộc trò chuyện ở bên
trái và chọn lưu lượng trong khung tóm tắt bên phải, kích phải vào khung
(trên cột quá trình), kích Add “process name” as colour rule, thiết lập màu và tất cả lưu lượng sẽ xuất hiện màu xanh cho quá trình IE.
Hình 2: Nhớ kích cột tên quá trình (Process Name)
Hình 3: Chọn màu để kết hợp với quá trình IE, sau đó kích OK và OK
Hình 4: Trong khung nhìn lưu lượng thời gian thực, bạn sẽ thấy luồng lưu lượng có màu xanh
Điều này cho phép người dùng dễ dàng phân biệt lưu lượng khi các gói dữ liệu vào ra với tốc độ cao.
Tiện ích dòng lệnh
Đường dẫn C:\Program Files\Microsoft Network Monitor 3>
Công cụ này có thể được sử dụng trong tiện ích dòng
lệnh và được gọi là NMcap.exe, nó được cài đặt trong đường dẫn hệ điều
hành. Chế độ này có thể capture với hiệu suất cao và rất hữu dụng khi
lập kịch bản cho công cụ và các lệnh.
Các lệnh đơn giản như nmcap * /capture /file
test_capture.cap có thể capture tất cả lưu lượng từ tất cả các giao diện
và lưu dữ liệu đã được capture vào một file mang tên test_capture.cap.
Các bộ lọc cũng có thể được áp dụng cho lệnh này để chỉ chúng ta chỉ
capture các lưu lượng có liên quan.
Tiện ích dòng lệnh được sử dụng trong nhiều trường
hợp, cho ví dụ, bạn có thể áp dụng điều này tại một site khách hàng và
nhận được đầu ra cho mục đích phân tích từ xa. Bất kỳ bộ lọc nào được sử
dụng trong giao diện người dùng đều có thể được sử dụng với tiện ích
dòng lệnh, bạn chỉ cần nhớ thêm các dấu trích dẫn.
Khi sử dụng công cụ này, tốt nhất bạn nên thiết lập
kích thước capture, đầu tiên nên giữ ở mức có thể quản lý để bảo đảm dữ
liệu capture không làm đầy ổ đĩa cứng.
Một trong những tham số hữu dụng nhất là
terminationwhencommand, điều này cho phép quản trị viên có thể lập kịch
bản để ngắt quá trình capture sau một quãng thời gian nào đó hoặc khi có
một sự kiện nhấn phím xảy ra.
Để nhập danh sách các tham số, bạn chỉ cần đánh Nmcap.exe /help
Phân tích cú pháp
Phân tích cú pháp được cung cấp cho tất cả các giao
thức Windows và cho các giao thức chung nhất. Có nhiều cú pháp có sẵn và
bạn có thể nhanh chóng tạo riêng cho mình một cú pháp nào đó. Các file
này có đuôi .npl và có thể được biên dịch nguyên bản bằng công cụ.
Văn Linh (Theo Windowsecurity) |