Phân tích dữ liệu với Network Monitor

Đối với một quản trị mạng, một thao tác vô cùng quan trọng là kiểm soát được các traffic chạy trên mạng của mình. Tuy nhiên do số gói tin trên mạng là rất lớn cho nên hầu như là không thể theo dõi được hết nội dung từng gói. Quản trị mạng có thể chỉ cần giám sát được các loại protocol khác nhau đang gửi nhận gói tin trên mạng. Việc giám sát mạng cho ta biết được bandwidth được sử dụng bởi những ứng dụng nào.

Đồng thời ta biết được người dùng trong mạng có dùng các phần mềm chia sẻ file hay một loại Trojan nào đó ngấm ngầm gửi các thông tin bất hợp lệ trên mạng. Việc giám sát mạng này không hề phức tạp như nhiều người nghĩ, Microsoft đã cung cấp sẵn một công cụ cho phép giám sát mạng khá hiệu quả trên Windows đó là phần mềm Network Monitor. Bài viết này sẽ hướng dẫn cách dùng Network monitor như một công cụ giám sát băng thông mạng.

Có 2 phiên bản của công cụ Network Monitor đi kèm với các sản phẩm của Microsoft. Bản thu gọn nằm trong bộ Microsoft Windows 2003 chỉ cho phép phân tích các gói tin đi vào và đi ra server chạy Windows 2003 server.Bản đầy đủ được đi kèm trong SMS Server, cho phép giám sát traffic từ bất kỳ máy nào trong mạng để biết được người dùng nào đang sử dụng băng thông nhiều nhất. Bản đầy đủ còn cho phép xác định xem người dùng nào chiếm băng thông mạng nhiều nhất, định vị các router trong mạng, và phân giải tên thiết bị ra địa chỉ MAC.

Một chức năng đã được lược bớt khi triển khai bộ công cụ Network Monitor cho Windows 2003 server so với bản đầy đủ của SMS server là khả năng bắt gói, thay đổi nội dung và truyền lại gói tin lên mạng. Nguyên nhân là do chức năng này có thể được hacker sử dụng để thực hiện các cuộc tấn công replay attack. Trong kỹ thuật tấn công này, hacker tìm cách bắt giữ một số thông tin quan trọng trong mạng (ví dụ các gói tin chứng thực).Sau đó, để có thể log vào với danh nghĩa một người dùng khác, hacker thay đổi nội dung gói để đánh tráo địa chỉ nguồn và đích rồi truyền lại gói tin.

Cài đặt Network Monitor

Chương trình Setup của Windows không cài đặt Network Monitor một cách mặc định. Vì vậy để cài đặt Network Monitor ta vào Control Panel click nút Add / Remove Windows Components để chạy Windows Components wizard. Duyệt qua danh sách các thành phần cho đến khi định vị ra được lựa chọn về Management và Monitoring Tools, chọn công cụ Management and Monitoring và click chọn Details.Chọn Network Monitor Tools, rồi click Next.Windows sẽ bắt đầu quá trình cài đặt, trong quá trình cài, có thể bạn sẽ được yêu cầu đút đĩa CD vào máy. Sau khi cài đặt xong, click nút Finish.

Khởi động Network Monitor

Sau khi cài đặt xong công cụ Network Monitor, có thể kích hoạt nó trong bộ công cụ Administrative Tools của Windows. Ban đầu, khi Network Monitor mới được tải ra, sẽ có một hộp thoại cho người sử dụng lựa chọn mạng để capture gói data trên đó. Click OK, hộp thoại Select a Network hiện ra. Một cách đơn giản nhất là mở rộng cây thư mục My Computer và chọn card mạng cần được giám sát. Click OK để tiếp tục.


Giao diện chính của phần mềm Network Monitor

Tại thời điểm ban đầu, giao diện của chương trình chưa có gì cả bởi vì tiến trình bắt gói dữ liệu chưa bắt đầu. Người dùng là có quyền điều khiển toàn bộ tiến trình này, tuy nhiên tốt nhất trước khi bắt đầu, nên thiết lập một bộ lọc cho tiến trình bắt gói. Bộ lọc này định ra những loại gói tin cụ thể được bắt và hiển thị lên màn hình của Network Monitor, tránh trường hợp bắt giữ quá nhiều gói tin làm người dùng không kịp phân tích. Có hai loại bộ lọc trong chương trình: bộ lọc bắt gói và bộ lọc hiển thị.

Bộ lọc bắt gói cho phép định ra các gói được bắt để phân tích. Ví dụ: có thể điều chỉnh để chương trình chỉ bắt gói HTTP.

Bộ lọc hiển thị làm việc tương tự ngoại trừ việc tất cả các gói tin trên mạng đều bị bắt giữ, nó thực hiện lọc các dữ liệu cần phân tích tại thời điểm phân tích chứ không phải tại thời điểm bắt gói. Bộ lọc hiển thị sử dụng nhiều không gian đĩa cứng hơn bộ lọc bắt gói nhưng thông tin được phân tích phong phú hơn.

Bắt gói

Để cấu hình bộ lọc, chọn Filter trong menu Capture. Nếu không có thể bắt đầu quá trình bắt gói bằng cách click vào lệnh Start trên menu Capture. Tiến trình bắt gói sẽ được hiển thị như trong hình vẽ.Khi đã bắt được gói cần thiết để phân tích, nên dừng tiến trình lại bằng nút Stop



Đây là tiến trình bắt gói của Network Monitor

Phân tích dữ liệu

Để phân thích dữ liệu, chọn lệnh Display Captured Data từ menu Capture, màn hình sẽ hiện ra như sau:



Hình trên là danh sách tất cả các gói tin được bắt theo đúng thứ tự. Dữ liệu trong hình trên là dữ liệu chưa được lọc nên thông tin hiển thị ra là rất nhiều, có thể cấu hình bộ lọc để giảm bớt lượng thông tin này: chọn lệnh Filter trong menu Display.

Người dùng duyệt trong cửa sổ để xem các gói tin, khi tìm được gói tin cần phần tích, kích đúp vào để xem nội dung chi tiết của gói tin, hình dưới đây là một ví dụ:



Trong màn hình hiển thị, nội dung gói được chia ra làm 3 phần. Phần trên cùng hiển thị nội dung vắn tắt. Người dùng có thể nhanh chóng tìm và chọn ra được gói tin cần phân tích trong phần cửa sổ này.

Phần thứ 2 là nội dung gói tin sau khi đã được giải mã và được hiển thị dưới dạng cây phân cấp. Trong hình trên, phần gốc cây có tiêu đề FRAME: Base Frame Properties. Nếu mở rộng phần đó, có thể thấy các thông tin cụ thể như thời gian, ngày tháng mà frame được lưu giữ, số frame, và độ dài frame.

Phần thứ 3 hiển thị nội dung dữ liệu thô tạo nên gói tin. Trong phần này, cột ngoài cùng phía trái hiển thị địa chỉ cơ sở của các byte trên 1 dòng dữ liệu dưới dạng các số hexa. Để xác định vị trí của các ký tự hexa, cộng giá trị địa chỉ cơ sở với vị trí cột của ký tự hexa muốn định vị. Ví dụ: địa chỉ cơ sở là 00000010 và ký tự cần xác định địa chỉ chính xác ở cột thứ 12 thì giá trị địa chỉ sẽ là 0000001B (0000001B = 00000010 + 0000000B).
Cột ngoài cùng phía bên phải chứa các thông tin được hiển thị lại dưới dạng decimal.Mọi thông tin được hiển thị dứơi dạng văn bản thông thường và dễ đọc hơn. Ví dụ một e-mail được truyền không mã hóa bị Network Monitor bắt, khi đó, có thể xem được nội dung đầy đủ của thông điệp (tất nhiên trước đó người dùng phải định vị chính xác gói tin chứa thông điệp email trong hàng loạt gói mà Network Monitor bắt được). Trong hình là một gói tin LDAP yêu cầu dịch vụ Active Directory.

Bằng việc sử dụng Network Monitor được tích hợp sẵn trong Microsoft Windows các quản trị mạng có thể dễ dàng theo dõi nhiều traffic khác theo hướng ra và hướng vào một server.

Thứ Ba, 22/11/2005 09:31
51 👨 10.420
0 Bình luận
Sắp xếp theo