Kiểm tra mạng bằng Network Monitor 3.4 – Phần 1

Quản trị mạngTrong bài này chúng tôi sẽ giới thiệu cho các bạn về công cụ kiểm tra mạng Network Monitor 3.4 và sự hữu dụng của nó trong việc khắc phục sự cố cũng như phân tích lưu lượng mạng.

Phân tích lưu lượng mạng ngày nay trở thành một vấn đề cực kỳ quan trọng vì các ngăn xếp giao thức mạng đã lần đến các giao thức web có khả năng định tuyến và NAT. Network Monitor là một bộ phân tích giao thức và một công cụ capture các khung dữ liệu giúp người dùng nhằm phát hiện và kiểm tra các kiểu giao thức phức tạp này, nó thực sự là một công cụ quan trọng trong toolbox của các quản trị viên và nhân viên bản mật mạng.

Nếu quan tâm đến việc truyền tải các dữ liệu nhạy cảm hoặc tải trọng được đóng gói, bạn sẽ biết được nhiều hơn về mạng của mình. Các công cụ giống như IPS, IDS và các tường lửa cũng rất hiệu quả nhưng chúng không mô tả chi tiết gói dữ liệu ở mức mà bạn cần biết. Có rất nhiều công cụ phát hiện gói dữ liệu thu phí hoặc miễn phí, tuy nhiên bài viết này chúng tôi sẽ tập trung vào một công cụ miễn phí, đó là Network Monitor 3.4.

Bộ phân tích giao thức là gì? (Protocol Analyser)

Đây là một ứng dụng hoặc một mẩu phần cứng có khả năng capture lưu lượng mạng và phân tích dữ liệu đi qua nó, cho đầu ra dưới định dạng dễ đọc đối với con người.

Về công cụ này

Các chi tiết kỹ thuật phần cứng: Network Monitor 3.4 yêu cầu tối thiểu bộ vi xử lý 1GHz, 1GB RAM, 60MB ổ cứng cho việc capture.

Chương trình có thể được cài đặt trên các nền tảng x86 và 64bit, gồm có các chipset Itainum đang chạy windows XP và phiên bản cao hơn.

Khi đã download và cài đặt ứng dụng từ website của Microsoft, bạn hoàn toàn có thể thực hiện việc capture.

Bạn có thể chọn các giao diện muốn lắng nghe lưu lượng trên nó. Kinh nghiệm cho thấy là chúng ta nên bắt đầu ở mức tối thiểu trước để bảo đảm không bị choáng ngập khi gặp quá nhiều lưu lượng qua máy. Sau đó bạn có thể thay đổi thiết lập này và bổ sung thêm các giao diện khác nếu cần.

Một trong những tính năng thú vị nhất của sản phẩm là khả năng kiểm tra lưu lượng và kết hợp nó với quá trình đang chạy, từ đó quản trị viên có thể phân biệt một cách nhanh chóng ứng dụng đang trao đổi với máy và kiểu lưu lượng được gửi qua mà không cần phải bò trườn qua hàng tấn lưu lượng khó hiểu.


Hình 1: Hình trên mô tả một cuộc trò chuyện của skype

Bạn có thể lọc lưu lượng của một cuộc trò chuyện nào đó tại một thời điểm. Điều này có thể thấy trong hình trên qua ID cuộc trò chuyện (ConvID) 468. Khi mở rộng các khung trong cuộc trò chuyện, bạn có thể kiểm nghiệm lại điều đó.

Người dùng cũng hoàn toàn có thể mã màu lưu lượng cho các bộ lọc, đặt lưu lượng nguồn một màu, lưu lượng đáp trả ở một màu khác để có thể phân biệt được ai đã nói những gì.

Ngoài ra người dùng còn có khả năng thiết lập để NM3.4 có thể capture lưu lượng trong một đường hầm VPN nào đó. Đây là một điều hết sức hữu dụng khi khắc phục sự cố các VPN.

Một thứ thú vị khác ở công cụ này là dữ liệu hoàn toàn sống, như những gì mà bạn thấy nó trong giao diện. Dữ liệu này có thể được lưu lại trong một file nào đó và có thể được gửi đến ai đó nếu bạn cần chia sẻ đầu ra của quá trình phân tích. Bạn cũng có thể chọn một dải các khung. Dải các khung được chọn này có thể được lưu lại và được gửi đến một hãng thứ ba khác nhờ phân tích thay vì gửi toàn bộ dữ liệu được capture.

Dữ liệu cũng có thể được copy trực tiếp vào excel nhằm mục đích phân tích và lập biểu đồ, ngoài ra cũng có thể áp dụng tương tự cho word và các bảng có thể được tạo nhanh chóng cho các trường hợp chi tiết. Điều này cho phép dễ dàng quản lý dữ liệu và dễ dàng trong trình bày.

Tạo một bộ lọc màu sắc

Việc tạo các bộ lọc hoàn toàn đơn giản. Một bộ lọc màu sắc là một sự kết hợp giữa một quá trình nào đó và một màu. Cho ví dụ bạn muốn thấy tất cả các lưu lượng của IE trong khung nhìn thời gian thực có màu xanh và lưu lượng của Firefox là màu đỏ. Tất cả những gì bạn cần ở đây là mở rộng quá trình trong cửa sổ các cuộc trò chuyện ở bên trái và chọn lưu lượng trong khung tóm tắt bên phải, kích phải vào khung (trên cột quá trình), kích Add “process name” as colour rule, thiết lập màu và tất cả lưu lượng sẽ xuất hiện màu xanh cho quá trình IE.


Hình 2: Nhớ kích cột tên quá trình (Process Name)


Hình 3: Chọn màu để kết hợp với quá trình IE, sau đó kích OK và OK


Hình 4: Trong khung nhìn lưu lượng thời gian thực, bạn sẽ thấy luồng lưu lượng có màu xanh

Điều này cho phép người dùng dễ dàng phân biệt lưu lượng khi các gói dữ liệu vào ra với tốc độ cao.

Tiện ích dòng lệnh

Đường dẫn C:\Program Files\Microsoft Network Monitor 3>

Công cụ này có thể được sử dụng trong tiện ích dòng lệnh và được gọi là NMcap.exe, nó được cài đặt trong đường dẫn hệ điều hành. Chế độ này có thể capture với hiệu suất cao và rất hữu dụng khi lập kịch bản cho công cụ và các lệnh.

Các lệnh đơn giản như nmcap * /capture /file test_capture.cap có thể capture tất cả lưu lượng từ tất cả các giao diện và lưu dữ liệu đã được capture vào một file mang tên test_capture.cap. Các bộ lọc cũng có thể được áp dụng cho lệnh này để chỉ chúng ta chỉ capture các lưu lượng có liên quan.

Tiện ích dòng lệnh được sử dụng trong nhiều trường hợp, cho ví dụ, bạn có thể áp dụng điều này tại một site khách hàng và nhận được đầu ra cho mục đích phân tích từ xa. Bất kỳ bộ lọc nào được sử dụng trong giao diện người dùng đều có thể được sử dụng với tiện ích dòng lệnh, bạn chỉ cần nhớ thêm các dấu trích dẫn.

Khi sử dụng công cụ này, tốt nhất bạn nên thiết lập kích thước capture, đầu tiên nên giữ ở mức có thể quản lý để bảo đảm dữ liệu capture không làm đầy ổ đĩa cứng.

Một trong những tham số hữu dụng nhất là terminationwhencommand, điều này cho phép quản trị viên có thể lập kịch bản để ngắt quá trình capture sau một quãng thời gian nào đó hoặc khi có một sự kiện nhấn phím xảy ra.

Để nhập danh sách các tham số, bạn chỉ cần đánh Nmcap.exe /help

Phân tích cú pháp

Phân tích cú pháp được cung cấp cho tất cả các giao thức Windows và cho các giao thức chung nhất. Có nhiều cú pháp có sẵn và bạn có thể nhanh chóng tạo riêng cho mình một cú pháp nào đó. Các file này có đuôi .npl và có thể được biên dịch nguyên bản bằng công cụ.

Thứ Sáu, 05/11/2010 15:41
2,52 👨 10.239
0 Bình luận
Sắp xếp theo