1 Một số tình Trong phần đề cập đến vấn đề cụ thể Sử dụng Wireshark phân tích gói tin để giải vấn đề cụ thể mạng Chúng tơi xin đưa số tình điển hình A Lost TCP Connection (mất kết nối TCP) Một vấn đề phổ biến kết nối mạng.Chúng ta bỏ qua nguyên nhân kêt nối bị mất, nhìn tượng mức gói tin Ví dụ: Một ví truyền file bị kết nối: Bắt đầu việc gửi gói TCP ACK từ 10.3.71.7 đến 10.3.30.1 Hình 3.1-1: This capture begins simply enough with a few ACK packets Lỗi gói thứ 5, nhìn thấy xuất việc gửi lại gói TCP Hình 3.1-2: These TCP retransmissions are a sign of a weak or dropped connection Theo thiết kế, TCP gửi gói tin đến đích, khơng nhận trả lời sau khoảng thời gian gửi lại gói tin ban đầu Nếu tiếp tục không nhận phản hồi, máy nguồn tăng gấp đôi thời gian đợi cho lần gửi lại Như ta thấy hình trên, TCP gửi lại lần, lần liên tiếp khơng nhận phản hồi kết nối coi kết thúc Hiện tượng ta thấy Wireshark sau: Hình 3.1-4: Windows will retransmit up to five times by default Khả xác định gói tin bị lỗi đơi giúp phát mấu trốt mạng bị đâu Unreachable Destinations and ICMP Codes (không thể chạm tới điểm cuối mã ICMP) Một công cụ kiểm tra kết nối mạng công cụ ICMP ping Nếu may mắn phía mục tiêu trả lời lại điều có nghĩa bạn ping thành cơng, cịn khơng nhận thơng báo khơng thể kết nối tới máy đích Sử dụng cơng cụ bắt gói tin việc cho bạn nhiều thông tin thay dung ICMP ping bình thường Chúng ta nhìn rõ lỗi ICMP Hình 3.1-5: A standard ping request from 10.2.10.2 to 10.4.88.88 Hình cho thấy thông báo ping tới 10.4.88.88 từ máy 10.2.99.99 Như so với ping thông thường ta thấy kết nối bị đứt từ 10.2.99.99 Ngồi cịn có mã lỗi ICMP, ví dụ : code (Host unreachable) Hình 3.1-6: This ICMP type packet is not what we expected Unreachable Port (không thể kết nối tới cổng) Một nhiệm vụ thông thường khác kiểm tra kết nối tới cổng máy đích Việc kiểm tra cho thấy cổng cần kiểm tra có mở hay khơng, có sẵn sang nhận u cầu gửi đến hay khơng Ví dụ, để kiểm tra dịch vụ FTP có chạy server hay khơng, mặc định FTP làm việc qua cổng 21 chế độ thơng thường Ta gửi gói tin ICMP đến cổng 21 máy đích, máy đích trả lời lại gói ICMP loại o mã lỗi có nghĩa khơng thể kết nối tới cổng đó.s Fragmented Packets Hình 3.1-7: This ping request requires three packets rather than one because the data being transmitted is above average size Ở thấy kích thước gói tin ghi nhận lớn kích thước gói tin mặc định gửi ping 32 bytes tới máy tính chạy Windows Kích thước gói tin 3,072 bytes Determining Whether a Packet Is Fragmented (xác định vị trí gói tin bị phân đoạn) No Connectivity (khơng kết nối) Vấn đề : có nhân viên Hải Thanh ngồi cạnh đương nhiên trang bị máy tính Sauk hi trang bị làm thao tác để đưa máy tính vào mạng, có vấn đề xảy máy tính Hải chạy tốt, kết nối mạng bình thường, máy tính Thanh truy nhập Internet Mục tiêu : tìm hiểu máy tính Thanh khơng kết nối Internet sửa lỗi Các thơng tin có   máy tính máy đặt IP ping đến máy khác mạng Nói tóm lại máy cấu hình khơng có khác Tiến hành Cài đặt Wireshark trực tiếp lên máy Phân tích Trước hết máy Hải ta nhìn thấy phiên làm việc bình thường với HTTP Đầu tiên có ARP broadcast để tìm địa gateway tầng 2, 192.168.0.10 Khi máy tính Hải nhận thơng tin bắt tay với máy gateway từ có phiên làm việc với HTTP bên ngồi Hình 3.1-12: Hải’s computer completes a handshake, and then HTTP data transfer begins Trường hợp máy tính Thanh Hình 3.1-13: Thanh’s computer appears to be sending an ARP request to a different IP address Hình cho thấy yêu cầu ARP không giống trường hợp Địa gateway trả 192.168.0.11 Như thấy NetBIOS có vấn đề NetBIOS giao thức cũ thay TCP/IP TCP/IP không hoạt động Như máy Thanh kết nối Internet với TCP/IP Chi tiết yêu cầu ARP máy : Máy Hải Máy Thanh Kết luận : máy Thanh đặt sai địa gateway nên kết nối Internet, cần đặt lại 192.168.0.10 The Ghost in Internet Explorer (con ma trình duyệt IE) Hiện tượng : máy tính A có tượng sau, sử dụng trình duyệt IE, trình duyệt tự động trỏ đến nhiều trang quảng cáo Khi A thay đổi tay bị tượng chí khở động lại máy bị Thơng tin có   A khơng thạo máy tính Máy tính A dùng Widows XP, IE Tiến hành Vì tượng xảy máy A trang home page A bị thay đổi bật IE nên tiếp hành bắt gói tin từ máy A Chúng ta khơng thiết phải cài Wireshark trực tiếp từ máy A Chúng ta dùng kỹ thuật “Hubbing Out” Phân tích Hình 3.1-16: Since there is no user interaction happening on A’s computer at the time of this capture, all of these packets going across the wire should set off some alarms Chi tiết gói tin thứ 5: Hình 3.1-17: Looking more closely at packet 5, we see it is trying to download data from the Internet Từ máy tính gửi yêu cầu GET HTTP đến địa hình Hình 3.1-18: A DNS query to the weatherbug.com domain gives a clue to the culprit Gói tin trả lại bắt đầu có vấn đề : thứ tự phần bị thay đổi Một số gói có lặp ACK Sau loạt thay đổi có truy vấn DNS đến deskwx.weatherbug.com Đây địa A khơng biết khơng có ý định truy cập Hình 3.2-1: We need to filter out all of this HTTP and TCP traffic Mở cửa sổ Alalyze->Expert Infos để thấy thêm thông tin Hình 3.2-2: The Expert Infos window shows us chats, warnings, errors, and notes Mặc định Expert Infos hiển thị tất thơng tin Nếu thị Error+Warn+Note ta có thơng tin sau Hình 3.2-3: The Expert Infos window (sans chats) summarizes all of the problems with this download Hình cho thấy:   có nhiều kết nối TCP chương trình Window update mở có tượng TCP Previous segment lost packets gói tin TCP gửi bị lặp ACK bị drop, khiến TCP phải gửi lại gói tin  ngun nhân chiếm băng thơng mạng làm giảm tốc độ download Khảo sát tiếp thông tin theo hướng ta nhận thơng tin hình phía Hình 3.2-4: Previous segment lost packets indicate a problem Hình 3.2-5: A fast retransmission is seen after a packet is dropped Statistics >TCP Stream Graph > Round Trip Time Graph Hình 3.2-6: The round trip time graph for this capture Các hình cho thấy dự đốn bước xác Các file khơng thể download thời gian lớn 0.1 s, thời gian lý tưởng 0,04s Kết luận : nguyên nhân download chậm có nhiều chương trình Windows update (có thể máy để auto update) tượng gói tin Như cần tắt bớt chương trình Windows update Did That Server Flash Me? Tình : anh Thanh phàn nàn truy cập vào phần website Novell để download số phần mềm cần thiết Mỗi lần truy cập vào site trình duyệt tải vài tải có Mạng có vấn đề khơng ? Thơng tin có: sau kiểm tra sơ tất máy tính bình thường trừ máy tính anh Thanh Như vấn đề nằm máy tính anh Thanh Tiến hành: cài Wireshark bắt gói tin truy cập website Novell máy Thanh