Làm việc với Network Monitor (Phần 3)

Làm việc với Network Monitor (Phần 1)
Làm việc với Network Monitor (Phần 2)

Brien M. Posey

Trong hai phần trước chúng tôi đã giới thiệu cho các bạn một số kỹ thuật cơ bản về capture dữ liệu bằng Network Monitor. Phần 3 này sẽ tiếp tục giới thiệu cách phân tích dữ liệu mà bạn đã capture được.

Với mục đích đơn giản, chúng ta thực hiện thao tác ping đơn giản. Để thực hiện điều đó bạn phải đăng nhập vào máy chủ mà bạn sẽ chạy Network Monitor, mở cửa sổ lệnh. Khi cửa sổ lệnh đã mở, đánh lệnh “PING”, sau đó là một dấu cách và tên miền đầy đủ hoặc một địa chỉ IP của máy tính trong mạng, nhưng bạn vẫn chưa nhấn phím Enter lúc này. Mở Network Monitor và chọn lệnh Start từ menu Capture. Ngay lúc đó chuyển sang cửa sổ lệnh và nhấn Enter để thực thi lệnh ping. Lệnh này sẽ trả về các kết quả như thể hiện trên hình A. Ngay khi lệnh này kết thúc bạn sẽ chuyển lại màn hình của Network Monitor và chọn lệnh Stop từ menu Capture. Thực hiện như vậy bạn sẽ capturre được các gói có liên quan đến lệnh ping, nhưng cũng sẽ capture được một số lưu lượng không liên quan.


Hình A: Các kết quả trả về của lệnh PING

Sau khi bạn dừng quá trình capture, kích vào biểu tượng Display Captured Data () để có thể xem được dữ liệu đã capture. Số lượng dữ liệu thực sự sẽ được hiển thị thành một phần của quá trình capture, điều đó phụ thuộc vào mạng của bạn bận như thế nào và lệnh PING mất thời gian bao lâu để hoàn tất. Trên mạng trong phòng thí nghiệm thì bạn chỉ có thể capture được một số khung trong khi đó bạn có thể sẽ capture được hầu hết các khung nếu thực hiện capture từ một mạng sản xuất. Ví dụ như khi thử thủ tục này trong khi đang viết bài này, tôi đã capture được gần 6 trăm khung trong vòng 5 giây một lần.

Có nghĩa là nếu bạn đã sử dụng Network Monitor để xử lý một vấn đề của mạng trong thế giới thực thì sẽ có thể capture được một số dữ liệu không thích hợp. Biết cách chọn lọc dữ liệu sẽ là một kỹ năng cần thiết bởi khi đó sẽ xác định được dữ liệu mà bạn thực sự cần quan tâm.

Nếu quan sát hình B bạn sẽ thấy rằng có khá nhiều gói tin đã được capture. Công việc của chúng ta làm phải lọc được các gói không liên quan đến hành động mà chúng ta đã thực hiện capture để phân tích các gói đã được capture một cách dễ dàng hơn.


Hình B: Network Monitor cho thấy cả lưu lượng không liên quan đến việc phân tích của bạn

Để thực hiện điều đó, bạn kích vào biểu tượng Filter trên thanh công cụ. Khi kích xong, bạn sẽ nhìn thấy một hộp thoại như hình C. Hộp thoại này sẽ cho biết Network Monitor cho bạn thấy tất cả dữ liệu đã được capture mà không quan tâm đến giao thức hoặc địa chỉ IP.


Hình C: Hộp thoại Display Filter

Tuy nhiên chúng ta đã thực hiện PING từ máy tính này sang một máy tính khác và chúng ta biết được các địa chỉ IP có liên quan đến lệnh PING. Chính vì vậy có thể lọc được các địa chỉ khác. Để thực hiện điều đó, bạn chọn dòng ANY <-> ANY và kích vào nút Edit Expression. Lúc này sẽ thấy được màn hình tương tự như hình D.


Hình D: Hộp thoại Expression cho phép bạn chọn các địa chỉ liên quan đến tình huống hiện tại

Màn hình này cho phép chọn các địa chỉ của hai máy tính có liên quan đến tình huống của bạn. Thông thường chỉ cần chọn địa chỉ nguồn và địa chỉ đích, thẩm định cột hướng (Direction) được thiết lập là <->, sau đó kích OK. Trong trường hợp riêng này, tất cả mọi thứ đều rất đơn giản.

Bạn sẽ thấy được trong hình này có rất nhiều địa chỉ IP có liên quan đến máy tính thử nghiệm. Điều đó là vì máy tính này là một máy chủ Web và đang quản lý nhiều website, mỗi một website lại có một địa chỉ riêng. Trong tình huống tương tự, bạn nên chọn địa chỉ chính của máy tính trừ khi có một lý do riêng để sử dụng một trong các địa chỉ còn lại.

Một thứ khác ở đây làm cho màn hình hiển thị hơi khó hiểu một chút là địa của chỉ máy đích không được hiển thị. Bạn có thể cố sửa điều này bằng cách kích nút Edit Addresses. Khi đó sẽ thấy được một danh sách tất cả các địa chỉ từ danh sách trước đó. Kích vào nút Add bạn sẽ có cơ hội thêm một địa chỉ vào danh sách. Lưu ý trong hình E là phải chọn kiểu địa chỉ (IP hoặc MAC) mà bạn muốn bổ sung. Kích OK, sau đó là Close, địa chỉ sẽ được thêm vào bộ lọc địa chỉ.


Hình E: Thêm địa chỉ vào danh sách

Bây giờ bạn chọn các địa chỉ IP có liên quan đến tình huống đã quan tâm, sau đó kích OK hai lần. Danh sách các khung đã được capture hiện đã được lọc chỉ hiển thị lưu lượng từ các máy tính được chọn, như hình F.


Hình F: Danh sách dữ liệu đã được capture chỉ hiển thị các khung mà chúng ta quan tâm

Khi việc capture của chúng ta chỉ liên quan đến lệnh PING thì bạn hoàn toàn sẽ không bị bất cứ vấn đề gì về việc định vị dữ liệu mà bạn đang tìm kiếm. Trong thế giới thực, đôi khi xảy ra tình huống dữ liệu mà bạn đang cố gắng capture có thể không tồn tại bên trong capture. Có hai điều kiện chính có thể gây ra điều này. Thứ nhất, tại sao file capture của bạn có thể không có dữ liệu mà bạn quan tâm là bởi vì hầu hết các công ty đều chuyển từ sử dụng hub sang switch. Trên mạng có sử dụng hub, mỗi máy tính trên hub nhận cùng một lưu lượng dữ liệu. Khi máy tính cần truyền thông với một máy tính khác nó sẽ đặt một gói dữ liệu lên dây và gói dữ liệu này sẽ được luân chuyển đến các máy tính khác có gắn với hub. Máy tính nhận gói dữ liệu phân biệt gói dữ liệu này bằng cách quan sát header của mỗi gói, kiểm tra xem đó có phải là gói được gửi cho mình không. Nếu địa chỉ đích tương ứng với địa chỉ MAC của máy tính đó thì máy này sẽ mở gói dữ liệu và tiếp đó là nội dung của nó. Còn trường hợp ngược lại thì nó sẽ bỏ qua.

Với mạng sử dụng switch thì lại khác. Khi một máy tính gửi đi một gói dữ liệu thì switch quan sát header của gói để xác định máy tính nào sẽ nhận gói. Sau đó nó sẽ chuyển tiếp gói tin này đến cổng switch mà máy tính nhận kết nối đến. Các máy tính khác hoàn toàn không biết đến gói dữ liệu này.

Lý do tại sao các switch lại thay thế hub là bởi vì chúng cho hiệu quả cao hơn và an toàn hơn. Nếu một hub được sử dụng cho hai máy tính đang muốn gửi dữ liệu cùng một lúc thì một xung đột sẽ xuất hiện và cả hai gói dữ liệu trong quá trình này đều bị phá hủy. Hai máy tính đó lại phải đợi một khoảng thời gian ngẫu nhiên để phát lại dữ liệu đã bị xung đột đó. Nếu có nhiều máy tính hơn thì số lần xung đột xảy ra nhiều hơn và như vậy kéo theo hiệu xuất mạng thấp. Đó chính là lý do làm cho các công ty chuyển dần sang dùng switch thay cho hub. Các Switch lại khó khăn cho việc capture dữ liệu với Network Monitor. Lý do ở đây là với cách các switch làm việc bạn chỉ có thể capture được dữ liệu đã gửi đi hoặc từ máy tính khác đến máy tính có Network Monitor đang chạy trên nó.

Điều kiện khác có thể làm cho các gói mong muốn không được capture là sử dụng các máy tính ảo. Nếu một máy chủ đơn cấu hình lên nhiều máy ảo thì lưu lượng vào các máy tính ảo đó sẽ có thể không được capture bởi vì lưu lượng giữa các máy tính ảo đã được cấu hình bởi một máy chủ riêng mà không có dây dẫn. Tuy nhiên bạn cũng có thể cấu hình các máy tính ảo để lưu lượng giữa chúng rơi vào mạng nhưng điều đó năm ngoài phạm vi của bài này.

Kết luận

Trong bài này chúng tôi đã giới thiệu cho bạn những cần thiết về việc lọc dữ liệu và tại sao bạn không thể capturer tất cả các dữ liệu đã chọn. Trong phần 4 chúng tôi sẽ tiếp tục giới thiệu cách phân tích dữ liệu đã được lọc.

Làm việc với Network Monitor (Phần 4)
Làm việc với Network Monitor (Phần 5)

Thứ Tư, 29/08/2007 15:39
31 👨 2.343
0 Bình luận
Sắp xếp theo