Làm việc với Network Monitor (Phần 5)

Bây giờ chúng tôi muốn tiếp tục giới thiệu cách phân tích tỉ mỉ các gói còn lại để bạn có thể xem dữ liệu trong chúng bao gồm những gì.
Nội dung trích xuất từ tài liệu:
Làm việc với Network Monitor (Phần 5)Làm việc với Network Monitor (Phần 5)Nguồn:quantrimang.com Brien M. PoseyTrong phần trước của loạt bài này, chúng tôi đã minh chứng rằng dù chỉcapture một mạng đơn giản cũng sẽ cho rất nhiều gói kết quả mà bạnkhông thực sự cần thiết. Và cũng đã giới thiệu cho bạn cách lọc ra các gói“tạp” để chỉ thấy các gói mà bạn thực sự quan tâm. Bây giờ chúng tôimuốn tiếp tục giới thiệu cách phân tích tỉ mỉ các gói còn lại để bạn có thểxem dữ liệu trong chúng bao gồm những gì.Trong phần kết luận của phần trước, tập các gói đã được capture và đã được lọcsẽ giống như những gì thể hiện trong hình A. Như đã giải thích ở phần đầu củabài này, chúng tôi đã capture dữ liệu thể hiện trong hình bằng việc bắt đầucapture, sau đó thực thi lệnh PING và cuối cùng là dừng capture. Mục đích tôi làlàm đơn giản mọi thứ nếu có thể. Nếu nhìn vào hình A, bạn có thể thấy vị trí cácgói ICMP đã được phát đi và vị trí các hồi âm đã được nhận. Hình 1: Thực sự hữu dụng khi lọc được ra các gói không quan trọngNếu đây là một capture trong đời thực thì sẽ không cần thiết phải nghiên cứusâu vào dữ liệu bởi vì bạn có thể nói chính xác những gì đang diễn ra bằng cáchquan sát cột Description. Tuy nhiên trong thế giới thực, mọi thứ lại không đơngiản như vậy. Để xác đinh chính xác những gì đang diễn ra bên trong một dấuvết cần phải xem xét bên trong các gói dữ liệu cụ thể.Không có gì đặc biệt để giới thiệu cho các bạn trong gói ICMP. Trong trườnghợp này, chúng ta hãy quan sát một số gói LDAP đã được capture. Bạn có thểđã biết, LDAP là viết tắt của Light Weight Directory Access Protocol. LDAP làgiao thức được sử dụng để đọc thông tin từ Active Directory và cũng ghi thôngtin vào Active Directory.Có hai lý do chúng tôi muốn giới thiệu cho các bạn cách phân tích một gói LDAP.Đầu tiên, trong các dấu vết thế giới thực đối với mạng của Windows, các góiLDAP là một trường hợp rất chung. Việc tồn tại các gói LDAP một cách chungnhư vậy nên bạn sẽ thấy cần thiết để giải mã ý nghĩa của chúng. Lý do thứ hai làhiểu gói gì đang làm việc. Các công nghệ mà chúng tôi muốn giới thiệu cho cácbạn có thể được sử dụng để xem xét nội dung bên trong các gói, nói như vậy cónghĩa rằng không phải mọi gói sẽ đều có nghĩa trừ khi bạn là một chuyên gia vềcác giao thức.Xem xét bên trong một góiChúng ta hãy bắt đầu bằng việc xem xét bên trong khung 284. Phần mô tả chỉnói đơn giản rằng khung này là một yêu cầu tìm kiếm. Tuy nhiên thực tế lại chothấy rằng một máy đang phát ra yêu cầu tìm kiếm LDAP này không thực sự chobạn nhiều như vậy. Một cách để biết yêu cầu tìm kiếm này gồm có những gì làxem xét bên trong gói.Trước khi mở gói, hãy kích vào các biểu tượng thay đổi panel chi tiết và panelhex. Khi cả ba panel được hiển thị, chọn gói mà bạn muốn xem xét. Khi thựchiện xong việc chọn gói, bạn sẽ thấy một màn hình tương tự như màn hình thểhiện trong hình B. Hình B: Nội dung bên trong một góiThứ đầu tiên cần lưu tâm là panel chi tiết. Nếu quan sát panel này bạn sẽ thấyđược rằng có một số mục khác nhau có khả năng mở rộng (Frame, Ethernet, IP,TCP và LDAP). Lý do cho các mục khác nhau ở đây là vì các gói có thứ bậc điểnhình nguyên thủy. Gói mà chúng ta đang xem xét là một gói LDAP, tuy nhiên cácmáy tính không đề cập một cách nguyên thủy với LDAP. LDAP được dựa trêngiao thức TCP. TCP lại là một phần nhỏ của giao thức IP. Mỗi mục trong panelchi tiết đều thể hiện một lớp tóm lược riêng.Nếu quan sát panel hex, bạn sẽ thấy nội dung các gói được thể hiện dưới dạnghexa. Lưu ý rằng mỗi byte được đánh dấu bằng màu đen. Lý do cho việc đánhdấu này là vì các byte được đánh dấu màu đen tương ứng với phần của góiđược chọn trong panel chi tiết. Trong trường hợp riêng này, mục FRAME đượcchọn. Mục này thể hiện toàn bộ khung, điều đó giải thích cho tại sao toàn bộkhung đều được bôi đen. Nếu chúng tôi chọn mục LDAP thì chỉ có các bytetương ứng với dữ liệu LDAP mới được bôi đen như trong hình C.Hình C: Panel hex bôi đen phần hiện được chọn trong gói ...