Giả sử các bạn đang quản lý một mạng LAN với vài chục PC, mọi thứ đều đang hoạt động bình thường… Rồi một buổi sáng, tất cả các PC trong LAN bỗng nhiên hoạt động chậm chạp khác thường, tốc độ truy xuất internet rất chậm, thậm chí không thể check mail được! Đầu tiên các Bác có thể nghi ngờ ngay đường truyền internet có vấn đề. Các Bác tắt mở điện Router kết nối internet, vẫn không hiệu quả. Rồi lần lượt đến việc khởi động lại PC, tắt mở điện switch… Nhưng mọi thứ vẫn không khá hơn sau các cố gắng trên.
Để xác định nguyên nhân của vấn đề, chúng ta nên làm theo phương pháp loại trừ. Trước tiên, các Bác nên dùng một PC nối trực tiếp vào Router Internet để thử đường truyền. Nếu nguyên nhân tại đây, hãy gọi dịch vụ của ISP. Trong trường hợp ngược lại nguyên nhân phần lớn do phía trong mạng LAN gây ra.
Thông thường các PC gửi dữ liệu trực tiếp với nhau bằng các gói tin unicast (là gói tin có địa chỉ đích đến là một số chính xác). Tuy nhiên, các dịch vụ trên PC lại dùng đến một số loại gói tin broadcast (ARP, …). Trên thực tế, nếu các PC hoạt động bình thường thì mỗi PC sẽ gửi các gói tin broadcast ở mức vừa phải nghĩa là khi có nhu cầu tìm MAC Add hoặc tìm NetBios name… thì chúng mới gửi broadcast.
Nhưng trong trường hợp một số PC bị cài đặt các “chương trình lạ” thường là virus thì chính các chương trình này liên tục gửi các gói tin broadcast để lây lan sang các PC khác trong mạng.
Đối với các gói tin unicast thì switch sẽ gửi chúng đến đúng port của máy nhận, trong khi đối với broadcast thì switch sẽ gửi chúng đến tất cả các port (flood). Các PC khi nhận broadcast đều phải xử lý gói tin này. Việc gửi quá nhiều broadcast trong LAN sẽ làm cho tốc độ liên lạc giữa các PC trong LAN chậm hẳn đi vì các gói tin broadcast liên tục gây ra xung đột (collision). Các gói tin broadcast này cũng làm cho các PC trong LAN phải xử lý liên tục.
Nếu đây là nguyên nhân của vấn đề thì chúng ta phải tìm cách xác định và cô lập các PC đã nhiễm virus và phát quá nhiều các gói tin broadcast. Với một vài công cụ để theo dõi các gói tin truyền trong mạng LAN, chúng ta có thể xác định các PC trên.
Trong bài này mình trình bày cách sử dụng chương trình wireshark để capture packet và xác định các PC không bình thường trong LAN.
1. Link download và hướng dẫn chương trình wireshark
2. Cài đặt:
3. Giao diện chính của chương trình wireshark:
4. Chon card mạng để capture packet:
5. Capture packet:
6. Stop capture
7. Các gói tin broadcast dùng giao thức NBNS không bình thường vì liên tục được gửi với mật độ cao từ các PC 192.168.6.17 và 192.168.6.18
8. Trong cùng thời gian trên các gói tin broadcast NBNS từ PC 192.168.6.2 là hợp lý
9. Broadcast ARP từ 192.168.6.9, 192.168.6.11, 192.168.6.19 là quá nhiều:
10. Trong khi đó Broadcast ARP từ các PC khác ít hơn hẳn:
11. Trong mạng LAN sử dụng switch hỗ trợ giao thức STP (Spanning-tree) nên các gói tin BPDU liên tục gửi theo chu kỳ 2 giây:
Với một vài phân tích trên, chúng ta đã có thể khoanh vùng các PC có vấn đề (nghi bị lây nhiễm virus…). Ngoài ra, việc capture theo định kỳ và so sánh lại sẽ phản ánh tình trạng của mạng LAN. Hy vọng bài viết này sẽ giúp cho các bác có một công cụ để tìm hiểu sâu hơn về hoạt động của các PC trong mạng LAN.
Không có nhận xét nào:
Đăng nhận xét