Làm việc với Network Monitor (Phần 1) Brien M. Posey
Làm việc với Network Monitor (Phần 2)
Làm việc với Network Monitor (Phần 3)
Làm việc với Network Monitor (Phần 4)
Trong phần trước của loạt bài này, chúng tôi đã minh chứng rằng dù chỉ capture một mạng đơn giản cũng sẽ cho rất nhiều gói kết quả mà bạn không thực sự cần thiết. Và cũng đã giới thiệu cho bạn cách lọc ra các gói “tạp” để chỉ thấy các gói mà bạn thực sự quan tâm. Bây giờ chúng tôi muốn tiếp tục giới thiệu cách phân tích tỉ mỉ các gói còn lại để bạn có thể xem dữ liệu trong chúng bao gồm những gì.
Trong phần kết luận của phần trước, tập các gói đã được capture và đã được lọc sẽ giống như những gì thể hiện trong hình A. Như đã giải thích ở phần đầu của bài này, chúng tôi đã capture dữ liệu thể hiện trong hình bằng việc bắt đầu capture, sau đó thực thi lệnh PING và cuối cùng là dừng capture. Mục đích tôi là làm đơn giản mọi thứ nếu có thể. Nếu nhìn vào hình A, bạn có thể thấy vị trí các gói ICMP đã được phát đi và vị trí các hồi âm đã được nhận.
Hình 1: Thực sự hữu dụng khi lọc được ra các gói không quan trọng
Nếu đây là một capture trong đời thực thì sẽ không cần thiết phải nghiên cứu sâu vào dữ liệu bởi vì bạn có thể nói chính xác những gì đang diễn ra bằng cách quan sát cột Description. Tuy nhiên trong thế giới thực, mọi thứ lại không đơn giản như vậy. Để xác đinh chính xác những gì đang diễn ra bên trong một dấu vết cần phải xem xét bên trong các gói dữ liệu cụ thể.
Không có gì đặc biệt để giới thiệu cho các bạn trong gói ICMP. Trong trường hợp này, chúng ta hãy quan sát một số gói LDAP đã được capture. Bạn có thể đã biết, LDAP là viết tắt của Light Weight Directory Access Protocol. LDAP là giao thức được sử dụng để đọc thông tin từ Active Directory và cũng ghi thông tin vào Active Directory.
Có hai lý do chúng tôi muốn giới thiệu cho các bạn cách phân tích một gói LDAP. Đầu tiên, trong các dấu vết thế giới thực đối với mạng của Windows, các gói LDAP là một trường hợp rất chung. Việc tồn tại các gói LDAP một cách chung như vậy nên bạn sẽ thấy cần thiết để giải mã ý nghĩa của chúng. Lý do thứ hai là hiểu gói gì đang làm việc. Các công nghệ mà chúng tôi muốn giới thiệu cho các bạn có thể được sử dụng để xem xét nội dung bên trong các gói, nói như vậy có nghĩa rằng không phải mọi gói sẽ đều có nghĩa trừ khi bạn là một chuyên gia về các giao thức.
Xem xét bên trong một gói
Chúng ta hãy bắt đầu bằng việc xem xét bên trong khung 284. Phần mô tả chỉ nói đơn giản rằng khung này là một yêu cầu tìm kiếm. Tuy nhiên thực tế lại cho thấy rằng một máy đang phát ra yêu cầu tìm kiếm LDAP này không thực sự cho bạn nhiều như vậy. Một cách để biết yêu cầu tìm kiếm này gồm có những gì là xem xét bên trong gói.
Trước khi mở gói, hãy kích vào các biểu tượng thay đổi panel chi tiết và panel hex. Khi cả ba panel được hiển thị, chọn gói mà bạn muốn xem xét. Khi thực hiện xong việc chọn gói, bạn sẽ thấy một màn hình tương tự như màn hình thể hiện trong hình B.
Hình B: Nội dung bên trong một gói
Thứ đầu tiên cần lưu tâm là panel chi tiết. Nếu quan sát panel này bạn sẽ thấy được rằng có một số mục khác nhau có khả năng mở rộng (Frame, Ethernet, IP, TCP và LDAP). Lý do cho các mục khác nhau ở đây là vì các gói có thứ bậc điển hình nguyên thủy. Gói mà chúng ta đang xem xét là một gói LDAP, tuy nhiên các máy tính không đề cập một cách nguyên thủy với LDAP. LDAP được dựa trên giao thức TCP. TCP lại là một phần nhỏ của giao thức IP. Mỗi mục trong panel chi tiết đều thể hiện một lớp tóm lược riêng.
Nếu quan sát panel hex, bạn sẽ thấy nội dung các gói được thể hiện dưới dạng hexa. Lưu ý rằng mỗi byte được đánh dấu bằng màu đen. Lý do cho việc đánh dấu này là vì các byte được đánh dấu màu đen tương ứng với phần của gói được chọn trong panel chi tiết. Trong trường hợp riêng này, mục FRAME được chọn. Mục này thể hiện toàn bộ khung, điều đó giải thích cho tại sao toàn bộ khung đều được bôi đen. Nếu chúng tôi chọn mục LDAP thì chỉ có các byte tương ứng với dữ liệu LDAP mới được bôi đen như trong hình C.
Hình C: Panel hex bôi đen phần hiện được chọn trong gói
Bạn có thể thấy mỗi gói này đều có thể mở rộng. Bằng việc kích vào dấu cộng bên cạnh mỗi mục, nó có thể sổ nội dung bên trong gói. Thông thường chúng ta hoàn toàn có thể xem chính xác gói bằng cách xem xét bên trong khung. Nếu quan sát gần vào hình C, bạn có thể nhặt ra một số từ có thể đọc bên trong nội dung. Mặc dù vậy, dữ liệu có thể đọc này thực sự rất khó đọc trong thực tế.Những từ bắt đầu trên dòng này và kết thúc ở dòng tiếp theo và cũng thường bị phân chia bởi các ký hiệu khó hiểu. Việc bôi đen cũng làm cho phần này trở lên khó đọc. Cách tốt hơn cho việc xem bên nội dung bên trong gói này là mở rộng phần LDAP của gói từ bên trong panel chi tiết. Mở rộng panel LDAP sẽ cho bạn thấy rằng gói cụ thể này là một yêu cầu tìm kiếm LDAP như được thể hiện trong hình D. Điều đó có nghĩa rằng gói đã được gửi cố gắng muốn truy vấn Active Directory.
Hình D: Mở phần LDAP chúng ta sẽ thấy đây là gói yêu cầu tìm kiếm LDAP
Vậy bây giờ chúng ta đã biết mục đích của gói này là gì, nhưng vẫn chưa biết gói này thực sự đang thực hiện những gì. Một yêu cầu LDAP là yêu cầu để truy vấn thông tin từ Active Directory, nhưng những thông tin gì nó đang muốn truy vấn? Nếu mở phần LDAP: mục Protocol0p = SearchRequest thì bạn có thể thấy một trong những mục con được gán nhãn Attribute Description List như những gì thể hiện trong hình E. Nếu quan sát hình này thì sẽ thấy được rằng Attribute Description List tương ứng với phần dữ liệu rõ ràng hơn được hiển thị trong khung hex.
Hình E: Các yêu cầu tìm kiếm LDAP luôn luôn được đệm thêm danh sách mô tả thuộc tính.
Bạn cũng sẽ thấy trong hình này, mục danh sách mô tả thuộc tính là hoàn toàn có thể mở rộng. Nếu mở mục này, bạn có thể thấy Network Monitor hiển thị chính xác những thuộc tính LDAP nào mà khung đang yêu cầu dữ liệu như trong hình F.
Hình F: Network Monitor hiển thị danh sách các thuộc tính cho thành phần
mà truy vấn LDAP đang cố gắng muốn truy vấn dữ liệu.
Kết luận
Vậy là thông qua loạt bài này chúng tôi đã giới thiệu một cách cơ bản cách sử dụng Network Monitor. Microsoft sẽ sớm phát hành phiên bản 3 của Network Monitor, nhưng mọi thứ mà chúng tôi đã giới thiệu cho các bạn trong bài này sẽ vẫn làm việc tốt cho tới khi phiên bản mới được phát hành.