Làm việc với Network Monitor (Phần 4)

Brien M. Posey

Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn cách lọc file capture của Network Monitor để chỉ có những truyền thông giữa các máy chủ mong muốn được hiển thị. Việc lọc ra giao tiếp với các máy chủ mà bạn không quan tâm thực chất là lọc bỏ “tạp” file capture, tuy nhiên có thể vẫn có nhiều clutter mà bạn phải phân loại để định vị thông tin mà bạn quan tâm ở bên trong. Ví dụ, chúng tôi đã thực hiện ping đến một trong các máy chủ khác trong mạng. Một lệnh ping chuẩn sinh ra 12 gói dữ liệu. Nếu bạn quan sát trong hình A thì sẽ thấy dù sau khi lọc ra giao tiếp với các máy chủ khác thì vẫn có nhiều hơn 12 gói dữ liệu được hiển thị tại đây.

Hình A: Khi bạn thực hiện một capture sẽ có rất nhiều clutter cần phân loại

Phần đáng sợ trong capture này là tất cả các gói đó đã được capture trên khoảng thời gian 5 hoặc 6 giây. Bạn chỉ có thể hình dung bao nhiêu gói sẽ được capture trong khoảng thời gian lớn hơn, hay có nhiều máy chủ hơn nữa giống như trong trường hợp của môi trường thực.

Tuy nhiên, cũng có một số thứ khác bạn có thể thực hiện để phân loại clutter. Trong trường hợp này, chúng tôi quan tâm đến việc xem xét các gói có liên quan đến lệnh PING. Bất cứ thời điểm nào bạn thực hiện lệnh PING, Windows sẽ sử dụng giao thức ICMP. Bằng cách đó chúng ta có thể lọc được danh sách để chỉ cho ICMP có các gói liên quan được hiển thị.

Lưu ý rằng chúng ta đã lọc được danh sách để quan sát các máy chủ cần thiết. Để lọc danh sách bởi giao thức, bạn kích vào biểu tượng Filter (biểu tượng trông như một ống khói). Khi thực hiện thao tác này, bạn sẽ thấy hộp thoại Display Filter được hiển thị như trong hình B.

Hình B: Hộp thoại Display Filter cho phép bạn lọc bằng máy chủ và giao thức

Để lọc bằng giao thức, bạn chọn dòng Protocol==Any, kích nút Edit Expression (nút này sẽ xuất hiện thay vì nút Change Operator đang được hiển thị trên hình). Bằng cách thực hiện như vậy, bạn sẽ thấy một màn hình tương tự như trong hình C. Cửa sổ này sẽ liệt kê tất cả các giao thức mà Network Monitor biết đến cũng như các mô tả vắn tắt về chúng.

Hình C: Hộp thoại Expression liệt kê các giao thức mà Network Monitor biết đến

Để tạo bộ lọc, đơn giản bạn chỉ cần kích chuột vào nút Disable All. Thực hiện như vậy sẽ chuyển tất cả các giao thức đã hiển thị trong hình từ danh sách Enabled Protocols đến Disabled Protocols. Kéo danh sách Disabled Protocols cho đến khi bạn định vị được giao thức ICMP. Chọn giao thức ICMP và kích nút Enable. Bằng cách thực hiện như vậy, ICMP sẽ là giao thức được liệt kê trong danh sách Enabled Protocols. Kích OK hai lần và capture sẽ được lọc để hiển thị các gói mà bạn quan tâm như trong hình D.

Hình D: Bạn có thể lọc đồng thời bởi host hay giao thức

Kỹ thuật và chúng tôi giới thiệu cho bạn sẽ làm việc tốt nếu bạn hiểu chính xác giao thức nào bạn quan tâm đến nó. Đôi khi bạn có thể chỉ cần một cảm nhận chung về những gì đang diễn ra trong giao tiếp giữa hai máy chủ, và có thể không cần biết cụ thể giao thức nào liên quan trong tình tình huống giao tiếp đó. Thậm chí trong một số tình huống, có các kỹ thuật mà bạn có thể sử dụng để phân loại clutter.

Kỹ thuật giới thiệu cho bạn là kỹ thuật mà chúng tôi đã sử dụng trong môi trường thực. Ý tưởng đằng sau kỹ thuật này là để lọc các gói “tạp”. Trước khi chúng tôi giới thiệu cho các bạn kỹ thuật này làm việc như thế nào, chúng tôi muốn đề cập đến tiêu chuẩn cho việc phân loại một gói thế nào là “tạp”.

Như bạn đã thấy, chúng tôi đã sử dụng một máy tính có tên là FUBAR để thực hiện lệnh PING đối với một máy chủ có tên là TAZMANIA. Hãy giả sử rằng chúng ta biết rằng có hai máy tính là máy tính mà chúng ta quan tâm để phân tích, nhưng chúng ta hãy chuẩn bị trước rằng chúng ta không hiểu ICMP là giao thức được sử dụng bởi lệnh PING. Trong trường hợp này, thứ đầu tiên mà chúng ta thực hiện là lọc ra danh sách gói đã được capture để loại ra các tình huống giao tiếp với máy chủ khác hơn là những máy chủ mà chúng ta quan tâm. Để thực hiện như vậy, chúng tôi sẽ sử dụng kỹ thuật tương tự như đã được sử dụng trong phần 3 và các kết quả sẽ được thể hiện như những gì bạn thấy trong hình A.

Khi chúng ta chỉ quan tâm đến việc xem xét các gói ICMP, hãy sử dụng bộ lọc để loại trừ các gói không phải ICMP. Trong kỹ thuật này, chúng ta sẽ thực hiện ngược lại. Thay vì việc loại ra các giao thức trừ một giao thức chúng ta sẽ để lại tất cả các giao thức đã được cho phép ban đầu và sau đó lọc ra các giao thức riêng khi nhận ra rằng không cần quan tâm đến chúng.

Như những gì bạn thấy trong hình A, một trong các giao thức sẽ sử dụng thường xuyên nhất là TCP. Khi bạn nhìn thấy gói TCP, nó là một đoạn của một thành phần nào đó được để lại từ một khung khác. Nếu tôi đang cố gắng để hiểu chung chung về những gì đang xảy ra trong một dấu vết thì thứ đầu tiên mà tôi thường xuyên thực hiện là lọc ra các gói TCP.

Bạn có thể kích vào biểu tượng bộ lọc để truy cập vào hộp thoại Display Filter. Kích dòng Protocol==Any và kích nút Edit Expression. Chọn giao thức TCP, kích nút Disable. Tuy nhiên, một lỗi trong phiên bản hiện hành của Network Monitor sẽ không cho phép bạn thực hiện được điều này. Để thực hiện theo hướng khác, chúng tôi đã tạo một danh sách cho mỗi giao thức đã được sử dụng capture. Sau đó vô hiệu hóa tất cả giao thức như kích hoạt các giao thức được sử dụng cho capture. Từ đó có thể vô hiệu hóa các giao thức. Ví dụ, nếu bạn so sánh hình E với hình A, bạn sẽ thấy chúng tôi đã có thể phân loại dấu vết bằng cách lọc ra giao thức TCP.

Hình E: Lọc ra các giao thức không liên quan đến những gì bạn đang tìm kiếm
có thể giảm đáng kể số lượng các gói mà bạn phải phân loại

Kết luận

Trong phần 4 này, chúng tôi đã giới thiệu cho các bạn hai kỹ thuật khác nhau cho việc cách ly các gói cần thực hiện. Trong phần 5 của loạt bài này chúng tôi sẽ tiếp tục giới thiệu cách trích dữ liệu từ một khung dữ liệu đã capture.

Làm việc với Network Monitor (Phần 5)