Làm việc với Network Monitor (Phần 1) Ngu ồ n:quantrimang.com Brien M. Pose y Mặc dù một mạng máy tính khá là tin cậy thì đôi khi vẫn có các vấn đề xuất hiện. Ví dụ, một mạng nào đó có thể bị chậm đi so với khả năng của nó hoặc một thiết bị trên mạng này có thể gặp phải vấn đề trong việc truyền thông với thiết bị khác. Trong các tình huống như vậy, một công cụ phân tích thường cần được sử dụng. Trong bài này, chúng tôi sẽ gi ới thiệu cho các bạn cách cài đặt và sử dụng một công cụ phân tích miễn phí có tên Network Monitor. Để có được Network Monitor Nói một cách chính xác thì Network Monitor không hoàn toàn miễn phí. Tuy nhiên nó có thể được coi là miễn phí bởi vì nó được gộp vào trong sản phẩm khác của Microsoft, trong Windows Server 2003. Có hai phiên bản khác nhau của Network Monitor; phiên bản Basic và phiên bản đầy đủ. Phiên bản Basic có trong Windows Server 2003, còn phiên bản đầy đủ được dành cho SMS Server. Cả hai phiên bản đều cho phép phân tích được lưu lượng mạng, tuy nhiên vẫn có một số sự khác nhau giữa hai phiên bản. Bảng dưới đây sẽ đưa ra các điểm khác nhau này. Đặc điểm Phiên bản Basic Phiên bản Full Packet Capturing Chỉ các gói capture được gửi đến và đi từ host nội bộ Lưu lượng capture từ toàn bộ đoạn mạng Capture Remote Frames Không được hỗ trợ Được hỗ trợ Xem sự tiêu hao băng tần bởi giao thức Không được hỗ trợ Được hỗ trợ Xem sự tiêu hao băng tần bởi người dùng Không được hỗ trợ Được hỗ trợ Thay đổi và phát lại lưu lượng mạng Không được hỗ trợ Được hỗ trợ Sự khác nhau giữa các router và Network Host Không được hỗ trợ Được hỗ trợ Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Giải quyết các tên thiết bị trong địa chỉ MAC Không được hỗ trợ Được hỗ trợ Như những gì đã thấy trong bảng trên, có nhiều khác nhau giữa hai phiên bản Network Monitor. Sự khác nhau lớn nhất là phiên bản Basic chỉ có khả năng phân tích được lưu lượng gửi đi hoặc đến từ máy tính đang sử dụng Network Monitor, trong khi đó phiên bản đầy đủ có thể phân tích tất cả các luồng lưu lượng trên cả đoạn mạng. Lúc đầu sự khác nhau này dường như rất lớn nhưng hai phiên bả n này không giống nhau như bạn nghĩ. Để tìm hiểu vấn đề này bạn cần phải hiểu sự khác nhau giữa hub và switch. Khi các máy tính nối mạng được kết nối tới một hub thì tất cả các máy tính nằm trong một miền xung đột chung. Điều này có nghĩa là khi một máy tính truyền đi một gói dữ liệu thì các máy tính khác trên đoạn mạng đều có thể thấy được gói này. Mỗi máy tính sẽ kiểm tra địa chỉ MAC đích đến của gói để xem nó có phải nhận gói dữ liệu đó hay bỏ qua. Vấn đề nảy sinh trong sử dụng hub là nếu hai máy tính cùng truyền đi gói dữ liệu đồng thời thì một xung đột sẽ xuất hiện, các gói sẽ bị phá hủy và phải được truyền lại. Chính vì vậy các mạng được xây dựng trên hub có hiệu suất thấp. Hầu hết mạng hiện đại ngày nay đều đượ c thiết kế bằng switch. Khi máy tính trên mạng này phát đi một gói thì switch sẽ xem địa chỉ MAC của máy nhận và sau đó gửi gói tin này trực tiếp đến máy nhận. Cách làm này đã khắc phục được hiện tượng như ở mạng hub là các máy tính không phải xem gói tin gửi đi này. Bằng sử dụng switch thay cho hub chúng ta đã cải thiện đáng kể hiệu quả mạng và tính bảo mật, tuy nhiên nó cũng hạn chế những gì có thể th ực hiện với bộ phân tích giao thức. Như được giới thiệu, phiên bản đầy đủ của Network Monitor có thể phân tích tất cả lưu lượng trên toàn đoạn mạng. Vấn đề xuất hiện ở đây là switch tạo một đoạn logic chỉ gồm có người gửi và người nhận. Vì vậy trên các mạng dùng switch, phiên bản đầy đủ của Network Monitor cũng có những hạn chế như phiên b ản Basic. Tuy vậy, Network Monitor vẫn là một công cụ xử lý sự cố tuyệt vời và cũng tốt cho việc tăng hiểu biết về mạng của bạn. Để sử dụng Network Monitor một cách có hiệu quả bạn cần phải bảo đảm và chạy nó trực tiếp trên các máy tính mà bạn đang khắc phục sự cố. Cài đặt phiên bản Basic Phiên bản Basic của Network Monitor có trong Windows Server 2003. Do vậy để cài đặ t nó bạn chỉ cần chọn Add / Remove Programs từ Control Panel của máy chủ. Khi bạn thực hiện như vậy, Windows sẽ hiển thị cửa sổ các chương trình Add / Remove. Kích vào nút Add / Remove Windows Components và đợi một Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com chút Windows sẽ khởi chạy Windows Components Wizard. Tìm trong các thành phần có sẵn tùy chọn Management and Monitoring Tools. Chọn Management and Monitoring (không chọn hộp kiểm), kích nút Details. Windows sẽ hiển thị một danh sách các công cụ quản lý và kiểm tra khác nhau. Chọn hộp kiểm Network Monitor Tools và kích OK. Giờ bạn kích Next và theo các gợi ý để hoàn tất quá trình cài đặt. Phụ thuộc vào cách máy chủ được cấu hình như thế nào bạn có thể được yêu cầu để cung cấp đĩa cài đặt Windows Server 2003. Cài đặt phiên bản đầy đủ - Full Cài đặt phiên bản đầy đủ của Network Monitor thực sự dễ dàng. Để thực hiện cài đặt bạn chỉ cần đưa đĩa cài SMS Server 2003 vào ổ CD và điều hướng thông qua cấu trúc thư mục của CD đến \NETMON\I386. Lúc đó kích đúp file NETMONSETUP.EXE để khởi động wizard cài đặt. Kích Next để qua màn hình Welcome screen của wizard, màn hình sẽ hiển thị thỏa thuận v ề đăng ký của người dùng. Sau khi chấp nhận thỏa thuận đăng ký, kích Next, wizard sẽ hiển thị không gian đĩa yêu cầu cho việc cài đặt và các không gian đĩa đang có trên máy. Sau khi bảo đảm có đủ không gian đĩa trống cho việc cài đặt bạn kích Next, khi đó Network Monitor sẽ tự động quá trình cài đặt của nó. Kích Finish để hoàn thiện quá trình cài đặt. Network Monitor Agent Network Monitor được thiết kế chủ yếu để kiểm tra lưu lượng m ạng vào/ra đối với một máy tính đang chạy nó (ngoại trừ phiên bản Full cho phép kiểm tra toàn bộ đoạn mạng). Đôi khi bạn lại cần phải thực hiện phân tích chi tiết về lưu lượng mạng liên quan đến máy tính khác hơn là với chính máy tính đang chạy công cụ kiểm tra này. Trong trường hợp như vậy, bạn nên cài đặt Network Monitor Agent (công cụ này cũng được biết đến như Network Monitor driver) vào máy tính mà bạn muốn kiể m tra. Network Monitor driver sẽ được cài đặt tự động khi Network Monitor được cài đặt. Ví dụ nếu trên máy tính bạn cần kiểm tra không cài đặt Network Monitor thì Network Monitor driver phải được cài đặt thủ công. Network Monitor driver có thể tương thích với Windows XP và Windows Server 2003. Để cài đặt Network Monitor Driver trên máy tính đang chạy hệ điều hành Windows XP, bạn mở Control Panel, kích vào liên kết Network and Internet Connections, sau đó là liên kết Network Connections. Lúc này bạn kích chuột phải vào kết nối mạng tương ứng với NIC mà bạn muốn kiể m tra và chọn Properties từ menu chuột phải. Khi cửa sổ thuộc tính của kết nối này xuất hiện, kích nút Install, ở đây bạn sẽ được hỏi xem có muốn cài đặt Client, Service, hay Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Protocol. Chọn tùy chọn Protocol và kích nút Add. Cuối cùng chọn Network Monitor Driver từ danh sách các giao thức có sẵn sau đó kích OK. Bạn có thể được nhắc để cung cấp đĩa cài đặt Windows. Kết luận Trong phần 1 này, chúng tôi đã giới thiệu cho bạn công cụ Network Monitor, một công cụ tuyệt vời dùng để kiểm tra các vấn đề về mạng. Trong bài cũng đưa ra sự khác nhau giữa hai phiên bản của công cụ này và cuố i cùng là đi sâu vào quá trình cài đặt nó. Trong phần 2 chúng tôi sẽ giới thiệu cho các bạn về cách sử dụng Network Monitor như thế nào, mời các bạn tiếp tục theo dõi trong phần hai.  Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Làm việc với Network Monitor (Phần 2) Ngu ồ n:quantrimang.com Brien M. Pose y Trong phần thứ nhất chúng tôi đã giới thiệu về sự khác nhau giữa các phiên bản của Network Monitor và quá trình cài đặt nó. Phần hai này sẽ tiếp tục thảo luận bằng cách giới thiệu về cách sử dụng công cụ thú vị này. Như những gì đã giới thiệu trong phần 1, có hai phiên bản khác nhau của công cụ Network Monitor. Đối với mục đích của bài này chúng tôi sử dụng phiên bản đầy đủ (Full) cùng với SMS Server 2003 Service Pack 1. Giao diệ n Network Monitor Khi khởi chạy Network Monitor, thứ đầu tiên bạn thấy là một thông báo yêu cầu lựa chọn giao diện mạng mà bạn muốn capture dữ liệu. Đây là bước quan trọng bởi vì nếu bỏ mặc lựa chọn giao diện thì Network Monitor sẽ nhặt lấy một giao diện tùy ý và giao diện này có thể không phải là giao diện mà bạn muốn có. Kích OK bạn sẽ vào được màn hình giống như hình A dưới đây. Đơn giản hãy ch ọn giao diện mạng mà bạn muốn sử dụng sau đó kích OK. Hình A: Lựa chọn giao diện mạng mà bạn muốn kiểm tra. Ở đây, Network Monitor sẽ hiển thị màn hình capture chính, được thể hiện trong hình B.Ttrước khi giới thiệu cho bạn cách sử dụng màn hình này chúng tôi muốn đề cập rằng Network Monitor chỉ gợi ý chọn mạng mà bạn muốn kiểm tra khi lần đầu sử dụng nó. Nếu máy tính của bạn chỉ có một adapter m ạng thì điều này sẽ không có vấn đề gì. Nếu hệ thống có nhiều đoạn mạng thì bạn có thể kiểm tra Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com lưu lượng của tất cả các đoạn mạng đó. Hình B: Màn hình capture của Network Monitor Một nhược điểm ở đây là bạn không thể kiểm tra lưu lượng qua các đoạn mạng một cách đồng thời, nhưng có thể chuyển các đoạn mạng ngay cho dù Network Monitor không tự động gợi ý về đoạn mạng mà bạn muốn kiểm tra. Để thực hiện điề u đó, bạn chỉ cần chọn lệnh Networks từ menu Capture. Lúc này bạn sẽ gặp màn hình giống như trong hình A. Sự khác nhau lớn nhất giữa hai màn hình này là màn hình sau có tùy chọn Remote mà bạn có thể sử dụng cho việc capture các gói dữ liệu từ xa. Hãy quan sát một chút trong màn hình capture. Như những gì bạn có thể thấy trong hình, màn hình này có 4 panel khác nhau. Panel ở phần trên trái của cửa sổ là panel biểu đồ. Panel biểu đồ sẽ hiển thị mức hành động hiện hành bằ ng đồ học trong suốt quá trình capture. Nó gồm các biểu đồ hiển thị phần trăm sử dụng mạng, số khung được capture, số byte được capture, số broadcast và multicast trên mỗi giây. Bạn có thể thấy trong hình có một thanh cuộn liên quan đến panel biểu đồ. Thanh cuộn này dễ bị nhầm lẫn bởi vì không có biểu đồ nào ngoại trừ những cái được thể hiện trong hình. Dưới panel biểu đồ là phần panel thống kê session. Panel này đượ c thiết kế để hiển thị tổng số lưu lượng đã được capture. Phần này hiển thị các thứ giống như các địa chỉ mạng của host có liên quan đến trong một tình huống, địa chỉ được Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com host khởi tạo cho tình huống này. Phần dưới của màn hình gồm có panel thống kê session. Panel này hiển thị toàn bộ thông tin capture. Địa chỉ mạng của mỗi host cũng được hiển thị cùng với số khung được gửi/nhận, số byte gửi/nhận và số khung, multicast và broadcast có hướng được gửi đi. Phần bên phải trên của cửa sổ là panel thống kê toàn bộ. Như tên ngụ ý, panel này hiển thị các thống kê liên quan đến tất c ả lưu lượng mạng đã được capture trọn vẹn. Panel này hiển thị các kiểu thông tin tương tự như thông tin trên panel khác đã được đề cập đến, tuy nhiên chỉ có một sự khác nhau nhỏ đó là nó không giảm các thống kê trên mỗi host cơ bản. Capture lưu lượng mạng Bây giờ tôi sẽ thao tác trong giao diện này, chúng ta sẽ thực hiện việc capture lưu lượng mạng. Nếu nhìn vào hình B thì bạn sẽ thấy thanh công cụ ở trên panel biểu đồ. Thanh công cụ này được sử dụng để điều khiển quá trình capturre. Các nút liên quan đến việc capture trên thanh công cụ này được liệt kê dưới đây: • Capture Data – Capture dữ liệu • Pause the capture or resume a paused capture – Tạm dừng capture hay tiếp tục lại capturre đã tạm dừng • Stop the capture process – Dừng hẳn quá trình capture. • Stop the capture and view the captured data – Dừng capture và xem dữ liệu đã capture • View the captured data – Xem dữ liệu đã capture • Help – Trợ giúp Để capture dữ liệu bằng Network Monitor, bạn hãy kích nút Capture Data. Network Monitor sẽ bắt đầu quá việc capture dữ liệu và sẽ không dừng cho tới khi dừng hẳn hay tạm dừng. Quá trình capture dữ liệu giống như những gì bạn thấy trong hình C. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình C: Giao diện Network Monitor khi đang capture dữ liệu Như những gì thấy trong hình, nó gồm có rất nhiều các thống kê, nhưng không có dữ liệu thực. Nếu muốn xem dữ liệu đã được capture thì bạn sẽ phải kích vào nút View Data trên thanh công cụ. Bằng cách đó bạn sẽ thấy được màn hình giống như hình D. Hình D: Dữ liệu đã được capture Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Nếu quan sát kỹ hơn về dữ liệu đã được capture thì bạn sẽ thấy những gì Network Monitor đang hiển thị là toàn bộ các khung riêng lẻ đã được capture. Màn hình này liệt kê số khung, thời gian mà khung đó được capture, địa chỉ nguồn và địa chỉ đích, các giao thức được sử dụng… nhưng không hiển thị dữ liệu trong khung. Tuy nhiên có một cách dễ dàng để xem được các thông tin chi tiết hơn. Nếu nhìn vào thanh công c ụ bạn sẽ thấy có 3 nút có 3 hình chữ nhật: Các nút này cho phép bạn chuyển tới và lui trong các panel chi tiết, tổng thể và panel hệ đếm 16. Khi tất cả 3 panel này đều được kích hoạt thì bạn có thể xem toàn bộ về các khung đã chọn như trong hình E. Hình E: 3 panel cho thấy được toàn bộ thông tin liên quan đến các khung đã được chọn. Như những gì bạn thấy trong hình, panel Details hiển thị thông tin giao thức cho khung được chọn hiện hành. Khi một khung có nhiều giao thức thì giao thứ c bên ngoài cùng được liệt kê đầu tiên. Panel hệ đếm 16 hiển thị dữ liệu thực của khung. Lưu ý trong hình là chỉ một phần của khung được chọn trong panel Details. Phần được chọn này sẽ được tô đậm trong panel hệ đếm 16 để giúp bạn cách ly dữ liệu. Kết luận Trong phần hai này chúng tôi đã giới thiệu cho bạn các vấn đề cơ bản trong việc Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com sử dụng công cụ Network Monitor. Trong phần 3 chúng tôi sẽ tiếp tục giới thiệu một capture mẫu đơn giản để hướng dẫn bạn cách phân tích dữ liệu đã capturre.  Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com [...]... theo hiệu xuất mạng thấp Đó chính là lý do làm cho các công ty chuyển dần sang dùng switch thay cho hub Các Switch lại khó khăn cho việc capture dữ liệu với Network Monitor Lý do ở đây là với cách các switch làm việc bạn chỉ có thể capture được dữ liệu đã gửi đi hoặc từ máy tính khác đến máy tính có Network Monitor đang chạy trên nó Điều kiện khác có thể làm cho các gói mong muốn không được capture... Merge and Split Unregistered Version - http://www.simpopdf.com Làm việc với Network Monitor (Phần 3) Nguồn : quantrimang.com  Brien M Posey Trong hai phần trước chúng tôi đã giới thiệu cho các bạn một số kỹ thuật cơ bản về capture dữ liệu bằng Network Monitor Phần 3 này sẽ tiếp tục giới thiệu cách phân tích dữ liệu mà bạn đã capture được Với mục đích đơn giản, chúng ta thực hiện thao tác ping đơn giản... Kết luận Trong bài này chúng tôi đã giới thiệu cho bạn những cần thiết về việc lọc dữ liệu và tại sao bạn không thể capturer tất cả các dữ liệu đã chọn Trong phần 4 chúng tôi sẽ tiếp tục giới thiệu cách phân tích dữ liệu đã được lọc   Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Làm việc với Network Monitor (Phần 4) Nguồn : quantrimang.com  Brien M Posey Trong phần trước... Trong phần 4 này, chúng tôi đã giới thiệu cho các bạn hai kỹ thuật khác nhau cho việc cách ly các gói cần thực hiện Trong phần 5 của loạt bài này chúng tôi sẽ tiếp tục giới thiệu cách trích dữ liệu từ một khung dữ liệu đã capture   Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Làm việc với Network Monitor (Phần 5) Nguồn : quantrimang.com  Brien M Posey Trong phần trước của loạt... hiện capture để phân tích các gói đã được capture một cách dễ dàng hơn Hình B: Network Monitor cho thấy cả lưu lượng không liên quan đến việc phân tích của bạn Để thực hiện điều đó, bạn kích vào biểu tượng Filter trên thanh công cụ Khi kích xong, bạn sẽ nhìn thấy một hộp thoại như hình C Hộp thoại này sẽ cho biết Network Monitor cho bạn thấy tất cả dữ liệu đã được capture mà không quan tâm đến giao... hiện thao tác ping đơn giản Để thực hiện điều đó bạn phải đăng nhập vào máy chủ mà bạn sẽ chạy Network Monitor, mở cửa sổ lệnh Khi cửa sổ lệnh đã mở, đánh lệnh “PING”, sau đó là một dấu cách và tên miền đầy đủ hoặc một địa chỉ IP của máy tính trong mạng, nhưng bạn vẫn chưa nhấn phím Enter lúc này Mở Network Monitor và chọn lệnh Start từ menu Capture Ngay lúc đó chuyển sang cửa sổ lệnh và nhấn Enter để... Monitor (Phần 4) Nguồn : quantrimang.com  Brien M Posey Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn cách lọc file capture của Network Monitor để chỉ có những truyền thông giữa các máy chủ mong muốn được hiển thị Việc lọc ra giao tiếp với các máy chủ mà bạn không quan tâm thực chất là lọc bỏ “tạp” file capture, tuy nhiên có thể vẫn có nhiều clutter mà bạn phải phân loại để định vị... vậy, bạn sẽ thấy một màn hình tương tự như trong hình C Cửa sổ này sẽ liệt kê tất cả các giao thức mà Network Monitor biết đến cũng như các mô tả vắn tắt về chúng Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình C: Hộp thoại Expression liệt kê các giao thức mà Network Monitor biết đến Để tạo bộ lọc, đơn giản bạn chỉ cần kích chuột vào nút Disable All Thực hiện như vậy... đằng sau kỹ thuật này là để lọc các gói “tạp” Trước khi chúng tôi giới thiệu cho các bạn kỹ thuật này làm việc như thế nào, chúng tôi muốn đề cập đến tiêu chuẩn cho việc phân loại một gói thế nào là “tạp” Như bạn đã thấy, chúng tôi đã sử dụng một máy tính có tên là FUBAR để thực hiện lệnh PING đối với một máy chủ có tên là TAZMANIA Hãy giả sử rằng chúng ta biết rằng có hai máy tính là máy tính mà chúng... Có nghĩa là nếu bạn đã sử dụng Network Monitor để xử lý một vấn đề của mạng trong thế giới thực thì sẽ có thể capture được một số dữ liệu không thích hợp Biết cách chọn lọc dữ liệu sẽ là một kỹ năng cần thiết bởi khi đó sẽ xác định được dữ liệu mà bạn thực sự cần quan tâm Nếu quan sát hình B bạn sẽ thấy rằng có khá nhiều gói tin đã được capture Công việc của chúng ta làm phải lọc được các gói không . kiể m tra. Network Monitor driver sẽ được cài đặt tự động khi Network Monitor được cài đặt. Ví dụ nếu trên máy tính bạn cần kiểm tra không cài đặt Network Monitor thì Network Monitor driver. cụ Network Monitor. Đối với mục đích của bài này chúng tôi sử dụng phiên bản đầy đủ (Full) cùng với SMS Server 2003 Service Pack 1. Giao diệ n Network Monitor Khi khởi chạy Network Monitor, . là lý do làm cho các công ty chuyển dần sang dùng switch thay cho hub. Các Switch lại khó khăn cho việc capture dữ liệu với Network Monitor. Lý do ở đây là với cách các switch làm việc bạn