TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN KHOA MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG MMT02  BÁO CÁO QUẢN TRỊ HỆ THỐNG MẠNG Tìm HiỂu Công CỤ CAPSA GVHD: ThS Vũ Trí Dũng SVTH: Nguyễn Anh Linh - 07520193 Phạm Hồng Hải - 07520109 Nguyễn Quốc Bảo - 07520515 Tp.HCM – 11/2010 Tóm tắt nội dung: Ngày việc phổ biến nhanh chóng ứng dụng rộng rãi hệ thống mạng, bao gồm thương mại điện tử, phủ điện tử, mạng doanh nghiệp việc sử dụng công nghệ đại khác tạo hội phát triển nhanh cho doanh nghiệp Tuy nhiên, người hưởng thuận tiện lợi nhuận mang lại hệ thống mạng, họ phải đứng trước nguy hệ thống bị cố chí ngừng hoạt động, gây thiệt hại lường trước cho doanh nghiệp Khi quản lý, bảo mật bảo trì hệ thống lúc trở nên quan trọng, kỹ sư nhà quản trị mạng phải đối mặt với vấn đề làm để cải thiện tốc độ hiệu suất mạng Mặt khác, sở hạ tầng mạng ngày trở nên phức tạp công nghệ mạng phát triển chóng mặt, việc thực bảo trì quản trị mạng trở nên khó khăn hết! Do công cụ quản trị mạng đời để giúp đỡ quản trị mạng công việc Trong đó, Colasoft Capsa công cụ tốt giúp quản trị viên phát giải cố mạng xảy Bài viết giới thiệu Capsa với chức năng, phương thức hoạt động, tính năng, cách sử dụng,… Và ưu khuyết điểm so với công cụ quản trị mạng khác (Wireshark, Orion) Mục Lục Tóm tắt nội dung ………………………………………………………………………………… I Giới thiệu tổng quan ……………………………………………………………………… II Công cụ quản trị mạng Capsa …………………………………………………………… Giới thiệu công cụ quản trị mạng Capsa ………………………………………… Mô tả chức công cụ …………………………………………………… 2.1 Chức ……………………………………………………………………… 2.2 Phương thức hoạt động ………………………………………………………… 2.2.1 Thu thập liệu ………………………………………………………… 2.2.2 Phân tích liệu ………………………………………………………… 2.2.3 Lưu trữ liệu …………………………………………………………… Các tính ………………………….……………………………………… III Đánh giá công cụ (so với Wireshark Orion) ……………………………….……… 13 Điểm mạnh …………………………………………………………….………… 13 Điểm yếu …………………………………………………………….…………… 17 IV Lời khuyên …………………………………………………………….……………… 18 V Kết luận ………………………………………………………………………………… 19 VI Tài liệu tham khảo …….……………………………………………………………… 20 I Giới thiệu tổng quan: Mục đích: giới thiệu công cụ quản trị mạng Colasoft Capsa Tổng quan yêu cầu đề tài: giới thiệu công cụ quản trị mạng Colasoft Capsa với thuộc tính: chức năng, phương thức hoạt động, cách sử dụng, điểm mạnh, điểm yếu, vấn đề cần lưu ý,… So sánh đối chiếu đặc điểm với công cụ quản trị mạng khác (Wireshark, Orion) II Công cụ quản trị mạng Capsa: Giới thiệu công cụ quản trị mạng Capsa: Capsa công cụ phân tích mạng (phân tích hay sniffer gói tin) phát triển hãng Colasoft dùng cho việc monitor mạng troubleshooting Nó có phiên là: miễn phí Free Editon thương mại Enterprise Editon Colasoft thành lập vào năm 2001 nhà cung cấp sáng tạo cho phần mềm theo dõi hoạt động mạng Hiện nay, 5000 khách hàng 80 quốc qia tin tưởng sản phẩm Capsa Sony Ericsson, Airbus, Dell, Ericsson, IBM, Intel, pepsi… (1) Mô tả chức công cụ: 2.1 Chức năng: Capsa làm cho hệ thống mạng trở nên suốt với khả thu thập liệu, giải mã gói tin, phân tích chức mạnh mẽ khác thống kê số liệu, báo cáo, ghi log hiển thị dạng đồ thị  Người quản trị mạng dễ dàng quản lý an ninh, bảo trì hệ thống mạng, phát lỗi, phân tích giao thức, tối ưu hóa hiệu suất, trì hoạt động mạng Quản trị mạng nhanh chóng xác định vị trí mạng bị nghẽn công với khả giám sát thời gian thực, giải mã gói tin hiển thị liệu Với Capsa, có thể:  Phân tích lưu lượng truy cập bất thường  Phân tích công giả mạo địa IP, MAC  Phân tích công phân mảnh liệu công tràn đệm  Phân tích công DoS / DDoS / DRDoS Phân tích giao tiếp TCP  Phân tích việc truyền nhận email bất thường mạng  Phân tích việc truyền nhận FTP có bình thường mạng  Xác định nút bão Broadcast / Multicast  Xác định gói tin truyền mạng có hay không  Xác định cố mạng  Xác định truy cập My Network Place có xác hay không  Phát cố chuyển mạch ngừng hoạt động mạng  Phát sâu máy tính công mạng  Phát máy tính bị nhiễm virus  Phân tích xác định vị trí nút làm mạng chậm  Phân tích xác định vị trí nút làm mạng không ổn định  Phân tích xác định nguyên nhân người dùng truy cập internet  Phân tích xác định vị trí máy tính download Bit Torrent  Phát hành vi quét cổng công cổng  Phát công dò mật  Phát công máy chủ web  Phát cố card mạng tốc độ truyền tải thiết bị  Phát hoạt động chương trình HTTP Proxy, chẳng hạn MSN  Lưu tất gói tin mạng vào đĩa cứng 2.2 Phương thức hoạt động: 2.2.1 Thu thập liệu:  Cài đặt Colasoft NDIS Protocol Driver Windows, thu thập gói tin truyền từ NIC  Cài đặt Colasoft NDIS intermediate Driver Windows, thu thập gói tin truyền từ NIC  Cài đặt Colasoft NDIS Protocol TDI Driver Windows để thu thập gói tin loopback localhost Theo mặc định, Capsa thu thập gói tin cách cài đặt Colasoft NDIS Protocol Driver Colasoft TDI Driver Khả thu thập hiệu đặc biệt quan trọng cho việc thu thập gói tin Để nâng cao hiệu suất thu thập, lọc gói liệu thu thập loại bỏ gói không khớp với quy tắc lọc lõi chương trình để giảm tài nguyên tiêu thụ trình xử lí gói liệu từ lõi hệ thống đến giao diện người dùng Hình 1- Quá trình thu thập gói tin Capsa 2.2.2 Phân tích liệu: Lõi hệ thống phân tích gói tin khớp với quy tắc lọc sau nhận Các liệuphân tích bao gồm số liệu thống kê, giải mã gói tin, mô lại TCP, phân tích giao thức,… Hình - trình phân tích liệu Capsa 2.2.3 Lưu trữ liệu: Các gói tin lưu trữ đệm tạm thời, gói tin xuất file định dạng chuẩn Các gói tin đệm tự động lưu vào đĩa cứng Kết phân tích hiển thị dạng bảng, đồ thị, ghi log báo cáo Tất số liệu thống kê lưu sang đĩa cứng Các tính chính: Capsa 7.x tăng cường nhiều tính mạnh mẽ, bao gồm số tính độc đáo so với các chương trình thu thập gói tin khác Hồ sơ phân tích (Analysis Profile): Capsa định nghĩa hồ sơ phân tích tập hợp mô-đun phân tích khác Kiến trúc đảm bảo hồ sơ phân tích có khả mở rộng, linh hoạt hiệu suất phân tích cao Chúng ta kết hợp mô-đun phân tích khác để tạo hồ sơ phân tích riêng để tập trung vào ứng dụng định Loại phân tích Hồ sơ phân tích Giám sát lưu lượng Phân tích Phân tích hoàn toàn Phân tích HTTP Phân tích FTP Phân tích ứng dụng Phân tích Email Phân tích DNS Phân tích tích hợp Phân tích TCP Mô tả Cung cấp khả phân tích lưu lượng mạng lớn giám sát lưu lượng (hỗ trợ card mạng 1Gb) Cung cấp khả phân tích thống kê chi tiết tất lưu lượng ứng dụng Phân tích lưu lượng HTTP Thống kê truy cập máy khách máy chủ,ghi lại truyền nhận HTTP Phân tích lưu lượng FTP, thống kê upload, download ghi lại truyền nhận FTP Phân tích lưu lượng SMTP/POP3 Thống kê emailnhân email ghi lại truyền nhận email Phân tích lưu lượng DNS thống kê truy vấn DNS, ghi lại truyền nhận DNS Phân tích lưu lượng TCP cung cấp liệu cho hồ sơ phân tích Hồ sơ mạng: Capsa cài đặt máy tính xách tay di chuyển lớp mạng khác Mỗi phân đoạn mạng có kiến trúc đặc điểm khác Hồ sơ mạng sử dụng để lưu thuộc tính chung phân đoạn mạng khác nhau: băng thông, cấu trúc mạng, bảng tên, báo động,… Khi cần phân tích lại phân đoạn mạng lần nữa, ta cần tải hồ sơ mạng phân đoạn Tùy biến giao thức: 10 Capsa nhận diện 300 giao thức giao thức phụ Chúng ta dễ dàng tạo quy tắc để nhận diện giao thức theo yêu cầu cụ thể Chúng ta định giao thức kiểu Ethernet, id giao thức đóng gói IP, TCP port UDP port Cửa sổ Explorer linh hoạt: Cửa sổ Explorer, giao diện tương tự Windows Resource Manager, thuận tiện nhiều tính Chúng ta không xem trạng thái nút mà nhanh chóng chuyển đổi thống kê tổng thể chi tiết nút mạng cụ thể Trong cửa sổ này, tất nút mạng phân thành ba nhóm: Protocol Explorer, Physical Explorer, IP Explorer Protocol Explorer - nhóm liệt kê thiết bị đầu cuối theo giao thức Physical Explorer - nhóm liệt kê thiết bị đầu cuối mạng theo địa vật lý IP Explorer - nhóm liệt kê thiết bị đầu cuối mạng theo địa IP Tùy biến bảng điều khiển: Bảng điều khiển cung cấp loạt thống kê đồ thị cho phép tùy biến tạo đồ thị biểu đồ hữu ích bảng khác để có thống kê theo địa MAC, IP giao thức Những đồ thị biểu đồ giúp tìm điểm bất thường nháy mắt Báo động thời gian thực: Capsa, Chúng ta tùy chỉnh kích hoạt báo động tổng lưu lượng truy cập, giao thức… Chúng ta thông báo qua cửa sổ pop-up với thông số quan trọng thông tin liên quan để giúp xử lý kịp thời bất thường Nếu không ngồi máy tính, ghi log báo động thực thông tin quan trọng lưu lại 11 Báo cáo: Một báo cáo gồm thông tin thống kê thống kê tóm tắt, kiện, thống kê giao thức, top 10, đồ thị với cài đặt hành Ngoài ra, Chúng ta tùy chỉnh mẫu báo cáo lưu báo cáo dạng HTML định dạng PDF vào đĩa Ma trận: Giao diện Ma trận Capsa công cụ mạnh mẽ để thể thống kê lưu lượng thời gian thực Các nút bố trí hình elip thuôn dài độ đậm đường kẻ biết khối lượng giao thông nút Chúng ta xem thống kê ma trận cho mạng tổng thể hay nút mạng cụ thể Tính chẩn đoán mạng cao cấp (Diagnosis): Cửa sổ diagnosis trình bày kiện chẩn đoán mạng tổng thể nút mạng cụ thể, giúp có xác định nhanh chóng xác định vị trí nút mạng có cố có phương án khắc phục Bộ lọc gói tin: Capsa cung cấp hai loại lọc: Bộ lọc đơn giản Bộ lọc nâng cao lọc đơn giản cho phép Chúng ta tùy chỉnh thông số theo địa chỉ, giao thức lọc Bộ lọc nâng cao Capsa cho phép Chúng ta tạo lọc giá trị gói tin, lọc kích thước gói tin lọc gói tin mẫu theo quy tắc logic And, Or, Not Thiết kế cho phép dễ dàng tìm hiểu làm lọc gói kết hợp xử lý Giải mã gói tin: giải mã gói tin hiển thị thông tin chi tiết theo mã Hex, ASCII EBCDIC Thông tin gói hiển thị bảng giải mã Mô lại giao tiếp TCP: thông tin ban đầu mô lại từ mảnh liệu thông qua việc mô lại giao tiếp TCP từ mảnh gói tin truyền nhận Quá trình phân tích nhìn thấy cửa sổ Conversation, phiên làm việc, truyền nhận thông tin máy khách máy chủ Người quản trị có khả nắm tất hoạt động mạng 12 Phân tích ghi log: Các ghi trình truyền nhận mạng phân tích phân tích cao cấp, bao gồm Email log, FTP log, HTTP request log, DNS log, giám sát MSN, Yahoo Messenger Capsa tạo file log file tách riêng kết phân tích phân tích cao cấp Cửa sổ thống kê: Những cửa sổ thống kê thiết kế lại, làm giảm với tổng khối lượng hạng mục thống kê cho phép tìm thấy thông tin cần thiết với lần click chuột Nó cho phép nắm hoạt động toàn mạng Tính hữu ích cần phải so sánh đồ thị báo cáo (3) III Đánh giá công cụ (so sánh với wireshark orion): Điểm mạnh: Chương trình có giao diện đơn giản, dễ sử dụng wireshark hay orion Trong bảng điều khiển chính, bạn dễ dàng xác định mức chuẩn đoán theo hướng dẫn Sau đó, cấu hình cụ thể áp dụng bên hệ thống bạn với form mẫu số liệu có sẵn Và thực tế quản trị viên thành thạo việc cấu hình thiết bị phần cứng, họ cần đến công cụ hỗ trợ tốt việc Với Capsa, người sử dụng tốn nhiều thời gian công sức để cấu hình: 13 Capsa Việc thiết lập ứng dụng cần thiết để phân tích toàn hoạt động hệ thống mạng yêu cầu mức chi phí không rẻ Khi sử dụng Capsa, bạn tiết kiệm nhiều thời gian, chi phí công sức so với trước Kết phân tích đưa chi tiết khoa học, tính Matrix kèm giúp người quản lý theo dõi toàn tình hình lưu thông liệu hệ thống mạng, họ cần di chuột qua dòng hiển thị thông tin tương ứng với độ dày – mỏng hình (đường đậm nghĩa mật độ “giao thông” dày), bạn biết xác kết nối gây tượng nghẽn mạng hệ thống 14 15 Orion (3) Colasoft Capsa cung cấp nhiều tính phân tích tìm thấy wireshark Ví dụ, chương trình hiển thị thiết bị đầu cuối giao thức từ gói tin bị bắt với số liệu thông kê số lượng thông tin gửi nhận lần Sự khác biệt Capsa thêm hình ảnh diễn giải số liệu thống kê Capsa chụp loopback wireshark (4) Các tab chuẩn đoán Capsa giúp theo dõi giải vấn đề mạng Thêm vào đó, capsa kèm với công cụ mở rộng: MAC scanner, Packet Builder, Packet Player, Ping 16 Báo cáo capsa gồm thông tin thống kê thống kê tóm tắt, kiện, thống kê giao thức, top 10, đồ thị với cài đặt hành Ngoài ra, Chúng ta tùy chỉnh mẫu báo cáo lưu báo cáo dạng HTML định dạng PDF vào đĩa Trong tính báo cáo Orion hạn chế (5) Giá tiền license Capsa rẻ nhiều so với Orion Capsa: 299$ -> 2999$ Orion: 1495$ -> 4995$ (6) Với wireshark : port windows đòi hỏi GTK+ Glib (7) So với Capsa, Orion đòi hỏi cấu hình cao phải có phần mềm hổ trợ khác : Điểm yếu: 17 Capsa thường dùng cho doanh nghiệp với mạng vừa nhỏ, mang lớn Orion hoạt động tốt Capsa free chức tạo báo cáo Capsa free giải mã 300 giao thức Wireshark hỗ trợ 500 giao thức, đặc biệt gói tin wireless voip capsa free không giải mã mà wireshark làm Không vậy, Capsa dựa vào windows để phân tích mạng, hoạt động unix, linux… (9 ) IV Lời khuyên: Capsa công cụ chạy tốt windows, đặc biệt thân thiện với windows Để sử dụng Capsa Free hiệu quả, ta cần có chút kiến thức giao thức Internet phải người đam mê khám phá công cụ, tiện ích máy tính 18 Capsa phần mềm có hổ trợ free (sẽ bị hạn chế số chức năng), để khắc phục cố lỗi mạng cách tốt phục vụ cho công việc nên mua quyền Trong trình sử dụng Capsa, nên thiết lập cảnh báo xuất luồng liệu “lạ”, điều giúp ta sớm nhận biết công mà đề phòng , đồng thời sử dụng hướng dẫn trực tuyến công cụ để giúp giải vấn đề phức tạp Đặt máy chạy Capsa SPAN port SPAN vlan để sniff tất gói tin qua switch Core Distribution V Kết luận: Việc bảo trì quản trị mạng ngày trở nên ngày phức tạp Khi sử dụng Capsa, bạn tiết kiệm nhiều thời gian, chi phí công sức, Capsa làm cho hệ thống mạng trở nên suốt với khả thu thập liệu, giải mã gói tin, phân tích chức mạnh mẽ khác thống kê số liệu, báo cáo, ghi log hiển thị dạng đồ thị Kết phân 19 tích đưa chi tiết khoa học, tính Matrix kèm giúp người quản lý theo dõi toàn tình hình lưu thông liệu hệ thống mạng Bên cạnh đó, việc so sánh với số công cụ wireshark, orion giúp có nhìn khách quan capsa VI Tài liệu tham khảo: http://www.colasoft.com/company/about.php, Title: about Capsa (1) www.colasoft.com/download/capsa-7.x-whitepaper.pdf, Title: Capsa Network Analyzer Whitepaper – Colasoft (2) http://www.quantrimang.com.vn/hethong/lan-wan/71613_Phan-tich-he-thong-mang-voiColasoft-Capsa.aspx, Title: phân tích hệ thống mạng với colasoft capsa (3) http://securitymusings.com/article/1161/colasoft-capsa-vs-wireshark, Title: Using Colasoft Capsa, Colasoft Capsa vs Wireshark (4) http://securitymusings.com/article/1165/using-colasoft-capsass, Title: Using Colasoft Capsa (5) www.colasoft.com/capsa, Title: about Capsa (6) http://www.networkmanagementsoftware.com/review-solarwinds-orion-network-performancemonitor-9, Title: Review: SolarWinds Orion Network Performance Monitor 9.5 (7) http://blog.colasoft.com/itwire-review-colasoft-capsa-network-analyser, Title: ITWire: Review – Colasoft Capsa network analyser (8) http://blog.colasoft.com/tag/review, Title: review Capsa (9) 20 https://www.infosecisland.com/blogview/6279-Capsa-Free-The-Terminator-of-Wireshark.html, Title: Capsa free, the terminator of wireshark? (10) 21 ... sánh đối chiếu đặc điểm với công cụ quản trị mạng khác (Wireshark, Orion) II Công cụ quản trị mạng Capsa: Giới thiệu công cụ quản trị mạng Capsa: Capsa công cụ phân tích mạng (phân tích hay sniffer... khó khăn hết! Do công cụ quản trị mạng đời để giúp đỡ quản trị mạng công việc Trong đó, Colasoft Capsa công cụ tốt giúp quản trị viên phát giải cố mạng xảy Bài viết giới thiệu Capsa với chức năng,... Giới thiệu tổng quan: Mục đích: giới thiệu công cụ quản trị mạng Colasoft Capsa Tổng quan yêu cầu đề tài: giới thiệu công cụ quản trị mạng Colasoft Capsa với thuộc tính: chức năng, phương thức