Làm việc với Network Monitor (Phần 4)

Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn cách lọc file capture của Network Monitor để chỉ có những truyền thông giữa các máy chủ mong muốn được hiển thị. Việc lọc ra giao tiếp với các máy chủ mà bạn không quan tâm thực chất là lọc bỏ “tạp” file capture, tuy nhiên có thể vẫn có nhiều clutter mà bạn phải phân loại để định vị thông tin mà bạn quan tâm ở bên trong....
Nội dung trích xuất từ tài liệu:
Làm việc với Network Monitor (Phần 4)Làm việc với Network Monitor (Phần 4)Nguồn:quantrimang.com Brien M. PoseyTrong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạncách lọc file capture của Network Monitor để chỉ có những truyền thônggiữa các máy chủ mong muốn được hiển thị. Việc lọc ra giao tiếp với cácmáy chủ mà bạn không quan tâm thực chất là lọc bỏ “tạp” file capture, tuynhiên có thể vẫn có nhiều clutter mà bạn phải phân loại để định vị thông tinmà bạn quan tâm ở bên trong. Ví dụ, chúng tôi đã thực hiện ping đến mộttrong các máy chủ khác trong mạng. Một lệnh ping chuẩn sinh ra 12 gói dữ liệu.Nếu bạn quan sát trong hình A thì sẽ thấy dù sau khi lọc ra giao tiếp với các máychủ khác thì vẫn có nhiều hơn 12 gói dữ liệu được hiển thị tại đây. Hình A: Khi bạn thực hiện một capture sẽ có rất nhiều clutter cần phân loạiPhần đáng sợ trong capture này là tất cả các gói đó đã được capture trênkhoảng thời gian 5 hoặc 6 giây. Bạn chỉ có thể hình dung bao nhiêu gói sẽ đượccapture trong khoảng thời gian lớn hơn, hay có nhiều máy chủ hơn nữa giốngnhư trong trường hợp của môi trường thực.Tuy nhiên, cũng có một số thứ khác bạn có thể thực hiện để phân loại clutter.Trong trường hợp này, chúng tôi quan tâm đến việc xem xét các gói có liên quanđến lệnh PING. Bất cứ thời điểm nào bạn thực hiện lệnh PING, Windows sẽ sửdụng giao thức ICMP. Bằng cách đó chúng ta có thể lọc được danh sách để chỉcho ICMP có các gói liên quan được hiển thị.Lưu ý rằng chúng ta đã lọc được danh sách để quan sát các máy chủ cần thiết.Để lọc danh sách bởi giao thức, bạn kích vào biểu tượng Filter (biểu tượng trôngnhư một ống khói). Khi thực hiện thao tác này, bạn sẽ thấy hộp thoại DisplayFilter được hiển thị như trong hình B. Hình B: Hộp thoại Display Filter cho phép bạn lọc bằng máy chủ và giao thứcĐể lọc bằng giao thức, bạn chọn dòng Protocol==Any, kích nút Edit Expression(nút này sẽ xuất hiện thay vì nút Change Operator đang được hiển thị trên hình).Bằng cách thực hiện như vậy, bạn sẽ thấy một màn hình tương tự như tronghình C. Cửa sổ này sẽ liệt kê tất cả các giao thức mà Network Monitor biết đếncũng như các mô tả vắn tắt về chúng.Hình C: Hộp thoại Expression liệt kê các giao thức mà Network Monitor biết đếnĐể tạo bộ lọc, đơn giản bạn chỉ cần kích chuột vào nút Disable All. Thực hiệnnhư vậy sẽ chuyển tất cả các giao thức đã hiển thị trong hình từ danh sáchEnabled Protocols đến Disabled Protocols. Kéo danh sách Disabled Protocolscho đến khi bạn định vị được giao thức ICMP. Chọn giao thức ICMP và kích nútEnable. Bằng cách thực hiện như vậy, ICMP sẽ là giao thức được liệt kê trongdanh sách Enabled Protocols. Kích OK hai lần và capture sẽ được lọc để hiển thịcác gói mà bạn quan tâm như trong hình D. Hình D: Bạn có thể lọc đồng thời bởi host hay giao thứcKỹ thuật và chúng tôi giới thiệu cho bạn sẽ làm việc tốt nếu bạn hiểu chính xácgiao thức nào bạn quan tâm đến nó. Đôi khi bạn có thể chỉ cần một cảm nhậnchung về những gì đang diễn ra trong giao tiếp giữa hai máy chủ, và có thểkhông cần biết cụ thể giao thức nào liên quan trong tình tình huống giao tiếp đó.Thậm chí trong một số tình huống, có các kỹ thuật mà bạn có thể sử dụng đểphân loại clutter.Kỹ thuật giới thiệu cho bạn là kỹ thuật mà chúng tôi đã sử dụng trong môi trườngthực. Ý tưởng đằng sau kỹ thuật này là để lọc các gói “tạp”. Trước khi chúng tôigiới thiệu cho các bạn kỹ thuật này làm việc như thế nào, chúng tôi muốn đề cậpđến tiêu chuẩn cho việc phân loại một gói thế nào là “tạp”.Như bạn đã thấy, chúng tôi đã sử dụng một máy tính có tên là FUBAR để thựchiện lệnh PING đối với một máy chủ có tên là TAZMANIA. Hãy giả sử rằngchúng ta biết rằng có hai máy tính là máy tính mà chúng ta quan tâm để phântích, nhưng chúng ta hãy chuẩn bị trước rằng chúng ta không hiểu ICMP là giaothức được sử dụng bởi lệnh PING. Trong trường hợp này, thứ đầu tiên màchúng ta thực hiện là lọc ra danh sách gói đã được capture để loại ra các tìnhhuống giao tiếp với máy chủ khác hơn là những máy chủ mà chúng ta quan tâm.Để thực hiện như vậy, chúng tôi sẽ sử dụng kỹ thuật tương tự như đã được sửdụng trong phần 3 và các kết quả sẽ được thể hiện như những gì bạn thấy tronghình A.Khi chúng ta chỉ quan tâm đến việc xem xét các gói ICMP, hãy sử dụng bộ lọcđể loại trừ các gói không phải ICMP. Trong kỹ thuật này, chúng ta sẽ thực hiệnngược lại. Thay vì việc loại ra các giao thức trừ một giao thức chúng ta sẽ để lạitất cả các giao thức đã được cho phép ban đầu và sau đó lọc ra các giao thứcriêng khi nhận ra rằng không cần quan tâm đến chúng.Như những gì bạn thấy trong hình A, một trong các giao thức sẽ sử dụng thườngxuyên nhất là TCP. Khi bạn nhìn thấy gói TCP, nó là một đoạn của một thànhphần nào đó được để lại từ một khung khác. Nếu tôi đang cố gắng để hiểuchung chung về những gì đang xảy ra trong một dấu vết ...