1 Tổng Quan Về Chặn Bắt Gói Tin (Sniffer)
1.1 Các khái niệm liên quan
• Packet là một đơn vị dữ liệu được định dạng để lưu chuyển trên mạng. • Network Traffic là lưu lượng thông tin vào/ra hệ thống mạng. Để có thể
đo đạc, kiểm soát Network Traffic ta cần phải chặn bắt các gói tin (Packet capture).
• Packet capture là hành động chặn bắt các packet dữ liệu được lưu chuyển trên mạng. Packet capture gồm có:
o Deep Packet Capture (DPC): là hành động chặn bắt toàn bộ các gói tin trên mạng (bao gồm cả phần header và payload). Các gói tin chặn bắt được sẽ được lưu trữ lại trong bộ nhớ tạm thời hoặc lâu dài.
o Deep Packet Inspection (DPI): là quá trình kiểm tra, đánh giá để tìm ra nguyên nhân của những vấn đề của mạng, xác định nguy cơ an toàn bảo mật, chắc chắn mạng hoạt động chính xác về kỹ thuật và luật pháp.
o DPC và DPI được kết hợp với nhau nhằm quản lý, đánh giá, phân tích sự luân chuyển các gói tin trên mạng đồng thời lưu giữ lại những thông tin đó cho các mục đích khác sau này.
• Trong thực tế packet capture có thể ghi lại được header mà không cần lưu giữ toàn bộ phần nội dung payload. Nhờ vậy, ta có thể giảm được yêu cầu bộ nhớ dùng để lưu trữ, tránh các vấn đề pháp luật trong khi vẫn có đầy đủ những thông tin cần thiết nhất.
• Packet Analyzer (Sniffer) là phần mềm hoặc phần cứng máy tính được gắn vào trong 1 mạng máy tính để có thể theo dõi thông tin lưu chuyển
(network traffic) trên 1 mạng hay một phần của mạng. Sniffer sẽ có nhiệm vụ chặn bắt các gói tin (packet), sau đó giải mã, phân tích nội dung của nó nhằm thực hiện các mục đích khác nhau.