Xử lý các tình huống về băng thông mạng

Anatomy of slow download( cốt lõi của việc download chậm) .Tình huống: cả mạng download rất chậm.tiến hành: đặt wire lắng nghe toàn bộ đầu ra của mạng.phân thích: hình ảnh download dữ liệu về nên chiếm băng thông của mạng. we need to filter out of this http and tcp traffic.mặc định expert hiển thị tất cả các thông tin.nếu chỉ hiển thị error+ warn+ note thì ta sẽ có các thông tin
Nội dung trích xuất từ tài liệu:
Xử lý các tình huống về băng thông mạngA. Xử lý các tình huống về băng thông mạngAnatomy of a Slow Download (cốt lõi của việc download chậm)Tình huống: cả mạng download rất chậmTiến hành : đặt wireshark lắng nghe toàn bộ đầu ra của mạngPhân thích : hình ảnh dưới đây cho thấy có rất nhiều kết nối TCP,HTTP điều này có nghĩa là có rất nhiều kết nốiHTTP download dữ liệu về nên chiếm băng thông của mạng.Hình 3.2-1: We need to filter out all of this HTTP and TCP traffic.Mở cửa sổ Alalyze->Expert Infos để thấy thêm thông tin.Hình 3.2-2: The Expert Infos window shows us chats, warnings, errors, and notes.Mặc định Expert Infos hiển thị tất cả các thông tin. Nếu chỉ hiện thị Error+Warn+Note thì ta sẽ có các thông tin sau.Hình 3.2-3: The Expert Infos window (sans chats) summarizes all of the problems with this download.Hình trên cho thấy:• có rất nhiều kết nối TCP do chương trình Window update mở• có hiện tượng TCP Previous segment lost packets và các gói tin TCP gửi đi bị lặp ACK và bị drop, khiến TCPphải gửi lại gói tin.có thể 2 nguyên nhân trên chiếm băng thông của mạng và làm giảm tốc độ download.Khảo sát tiếp các thông tin theo hướng này ta nhận được các thông tin ở các hình phía dưới.Hình 3.2-4: A fast retransmission is seen after a packet is dropped.Statistics >TCP Stream Graph > Round Trip Time GraphHình 3.2-5: The round trip time graph for this captureCác hình cho thấy dự đoán ở bước trên là chính xác. Các file sẽ không thể được download về nếu thời gian lớn hơn0.1 s, thời gian lý tưởng là 0,04s.Kết luận : nguyên nhân do download chậm là có nhiều chương trình Windows update (có thể các máy để autoupdate) và hiện tượng mất gói tin. Như vậy cần tắt bớt các chương trình Windows update.Did That Server Flash Me?Tình huống : anh Thanh phàn nàn rằng không thể truy cập vào một phần website Novell để download một số phầnmềm cần thiết. Mỗi lần truy cập vào site đó trình duyệt đều tải vài tải nhưng có gì hơn thế nữa. Mạng có vấn đề gìkhông ?Thông tin chúng ta có: sau khi kiểm tra sơ bộ thì tất cả các máy tính đều bình thường trừ máy tính của anh Thanh.Như vậy vấn đề nằm ở máy tính của anh Thanh.Tiến hành: cài Wireshark và bắt gói tin khi truy cập website Novell trên máy của ThanhPhân thích:Thông tin nhận được khi bắt đầu có kết nối HTTP đến website Novell:Hình 3.2-6: The capture begins with standard HTTP communication.Từ phía client gửi gói tin RST để kết thúc kết nối HTTP:Hình 3.2-7: Packets 28 and 29 present a problem.Lý do gì khiến client gửi gói tin RST ? Sử dụng một trong các tính năng cao cấp của Wireshark là Follow TCP Streamđể thấy chi tiết nội dung mà phía server Novell trả về khi dùng hàm GET của HTTP.Hình 3.2-8: This Flash request is the source of our problem.Như vậy có thể nhìn thấy, phần Flash được mở dưới dạng PopUp nhưng Thanh không thấy gì. Kiểm tra thì thấy trìnhduyệt khóa tính năng PopUP.Kết luận : trình duyệt block popupPOP Goes the Email ServerTình huống : gửi thư chậm trong cùng domain và khác domain. Thời gian nhận được thư từ khi gửi từ 5-10 phút.Thông tin chúng ta có:• Mail của công ty sử dụng một mail server riêng.• Mail server dùng Post Office Protocol (POP) để nhậnTiến hành:Bắt gói tin tại máy mail serverPhân thích:Thông tin về giao thức POP qua WiresharkHình 3.2-9: This capture includes a lot of POP packets.Hình 3.2-10: Changing the time display format gives us an idea of how much data we are receiving in what amount oftime.Sử dụng Follow TCP Stream để xem nội dung thư có file đính kèm thì nhận thấy như sau:Hình 3.2-10: The details of packet 1 show information about the email being sent.File đính kèm được chèn rất nhiều kí tự giống nhau vào để tăng kích thước file đính kèm, kiểm tra tiếp số lượng mailnhư thế này thì thấy số lượng lớn.Có thể đi đến kết luận mail server bị spam làm cho năng lực xử lý các yêu cầu gửi đến bị giảm xuống, tương tự nhưtấn công từ chối dịch vụ.Hướng giải quyết : tìm và phát hiện nguồn của thư rác, có thể dùng blacklist để cấm các địa chỉ gửi thư rác.Kết luận : spam mail với file attach lớnB. Một số tình huống an ninh mạng cơ bảnOS Fingerprinting (Nhận dạng OS)OS Fingerprinting là một kỹ thuật phổ biến được các haker sử dụng để thu thập các thông tin về server từ xa, từ đócó những thông tin hữu ích để thực hiện các bước tấn công tiếp theo.Như xác định các lỗi có thể có với server mục tiêu, chuẩn bị các công cụ phù hợp cho cuộc tấn công.Một trong các kỹ thuật xử dụng là gửi các gói tin ICMP ít thông dụng.• Sử dụng ICMP traffic,dùng ping sẽ không bị “cảnh báo”• Sử dụng traffic like Timestamp request/reply, Address mask request, Information request không phổ biến lắm.Hình 3.3-1: This is the kind of ICMP traffic you don’t want to see.Dùng các ICMP request không phổ biến như trên đôi khi sẽ nhận được những thông tin từ mục tiêu phản hồi lại.Nế ...