Làm việc với Network Monitor (Phần 5)

Chia sẻ: Hoang Nhan | Ngày: | Loại File: PDF | Số trang:7

0
87
lượt xem
23
download

Làm việc với Network Monitor (Phần 5)

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bây giờ chúng tôi muốn tiếp tục giới thiệu cách phân tích tỉ mỉ các gói còn lại để bạn có thể xem dữ liệu trong chúng bao gồm những gì.

Chủ đề:
Lưu

Nội dung Text: Làm việc với Network Monitor (Phần 5)

  1. Làm việc với Network Monitor (Phần 5) Nguồn : quantrimang.com  Brien M. Posey Trong phần trước của loạt bài này, chúng tôi đã minh chứng rằng dù chỉ capture một mạng đơn giản cũng sẽ cho rất nhiều gói kết quả mà bạn không thực sự cần thiết. Và cũng đã giới thiệu cho bạn cách lọc ra các gói “tạp” để chỉ thấy các gói mà bạn thực sự quan tâm. Bây giờ chúng tôi muốn tiếp tục giới thiệu cách phân tích tỉ mỉ các gói còn lại để bạn có thể xem dữ liệu trong chúng bao gồm những gì. Trong phần kết luận của phần trước, tập các gói đã được capture và đã được lọc sẽ giống như những gì thể hiện trong hình A. Như đã giải thích ở phần đầu của bài này, chúng tôi đã capture dữ liệu thể hiện trong hình bằng việc bắt đầu capture, sau đó thực thi lệnh PING và cuối cùng là dừng capture. Mục đích tôi là làm đơn giản mọi thứ nếu có thể. Nếu nhìn vào hình A, bạn có thể thấy vị trí các gói ICMP đã được phát đi và vị trí các hồi âm đã được nhận.
  2. Hình 1: Thực sự hữu dụng khi lọc được ra các gói không quan trọng Nếu đây là một capture trong đời thực thì sẽ không cần thiết phải nghiên cứu sâu vào dữ liệu bởi vì bạn có thể nói chính xác những gì đang diễn ra bằng cách quan sát cột Description. Tuy nhiên trong thế giới thực, mọi thứ lại không đơn giản như vậy. Để xác đinh chính xác những gì đang diễn ra bên trong một dấu vết cần phải xem xét bên trong các gói dữ liệu cụ thể. Không có gì đặc biệt để giới thiệu cho các bạn trong gói ICMP. Trong trường hợp này, chúng ta hãy quan sát một số gói LDAP đã được capture. Bạn có thể đã biết, LDAP là viết tắt của Light Weight Directory Access Protocol. LDAP là giao thức được sử dụng để đọc thông tin từ Active Directory và cũng ghi thông tin vào Active Directory. Có hai lý do chúng tôi muốn giới thiệu cho các bạn cách phân tích một gói LDAP. Đầu tiên, trong các dấu vết thế giới thực đối với mạng của Windows, các gói LDAP là một trường hợp rất chung. Việc tồn tại các gói LDAP một cách chung như vậy nên bạn sẽ thấy cần thiết để giải mã ý nghĩa của chúng. Lý do thứ hai là hiểu gói gì đang làm việc. Các công nghệ mà chúng tôi muốn giới thiệu cho các bạn có thể được sử dụng để xem xét nội dung bên trong các gói, nói như vậy có nghĩa rằng không phải mọi gói sẽ đều có nghĩa trừ khi bạn là một chuyên gia về
  3. các giao thức. Xem xét bên trong một gói Chúng ta hãy bắt đầu bằng việc xem xét bên trong khung 284. Phần mô tả chỉ nói đơn giản rằng khung này là một yêu cầu tìm kiếm. Tuy nhiên thực tế lại cho thấy rằng một máy đang phát ra yêu cầu tìm kiếm LDAP này không thực sự cho bạn nhiều như vậy. Một cách để biết yêu cầu tìm kiếm này gồm có những gì là xem xét bên trong gói. Trước khi mở gói, hãy kích vào các biểu tượng thay đổi panel chi tiết và panel hex. Khi cả ba panel được hiển thị, chọn gói mà bạn muốn xem xét. Khi thực hiện xong việc chọn gói, bạn sẽ thấy một màn hình tương tự như màn hình thể hiện trong hình B.
  4. Hình B: Nội dung bên trong một gói Thứ đầu tiên cần lưu tâm là panel chi tiết. Nếu quan sát panel này bạn sẽ thấy được rằng có một số mục khác nhau có khả năng mở rộng (Frame, Ethernet, IP, TCP và LDAP). Lý do cho các mục khác nhau ở đây là vì các gói có thứ bậc điển hình nguyên thủy. Gói mà chúng ta đang xem xét là một gói LDAP, tuy nhiên các máy tính không đề cập một cách nguyên thủy với LDAP. LDAP được dựa trên giao thức TCP. TCP lại là một phần nhỏ của giao thức IP. Mỗi mục trong panel chi tiết đều thể hiện một lớp tóm lược riêng. Nếu quan sát panel hex, bạn sẽ thấy nội dung các gói được thể hiện dưới dạng hexa. Lưu ý rằng mỗi byte được đánh dấu bằng màu đen. Lý do cho việc đánh dấu này là vì các byte được đánh dấu màu đen tương ứng với phần của gói được chọn trong panel chi tiết. Trong trường hợp riêng này, mục FRAME được chọn. Mục này thể hiện toàn bộ khung, điều đó giải thích cho tại sao toàn bộ khung đều được bôi đen. Nếu chúng tôi chọn mục LDAP thì chỉ có các byte tương ứng với dữ liệu LDAP mới được bôi đen như trong hình C.
  5. Hình C: Panel hex bôi đen phần hiện được chọn trong gói
  6.  
Đồng bộ tài khoản