Quản trị hệ thống mạng Công cụ quản trị mạng Capsa

Trong đó,Colasoft Capsa là một trong những công cụ tốt nhất có thể giúp các quản trị viên phát hiện vàgiải quyết các sự cố mạng xảy ra.. Tổng quan và y êu cầu đề tài : giới thiệu về công

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN KHOA MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG

MMT02 

BÁO CÁO QUẢN TRỊ HỆ THỐNG MẠNG

GVHD: ThS Vũ Trí Dũng

SVTH:

Nguyễn Anh Linh - 07520193

Phạm Hồng Hải - 07520109 Nguyễn Quốc Bảo - 07520515

Tp.HCM – 11/2010

Tìm HiỂu Công CỤ CAPSA

Tóm tắt nội dung:

Ngày nay việc phổ biến nhanh chóng và ứng dụng rộng rãi của hệ thống mạng, bao gồmthương mại điện tử, chính phủ điện tử, mạng doanh nghiệp và việc sử dụng các công nghệ hiệnđại khác đã tạo cơ hội phát triển nhanh hơn cho các doanh nghiệp Tuy nhiên, khi con ngườiđang được hưởng sự thuận tiện và lợi nhuận mang lại bởi hệ thống mạng, họ cũng phải đứngtrước nguy cơ hệ thống bị sự cố và thậm chí ngừng hoạt động, có thể gây thiệt hại không thểlường trước được cho doanh nghiệp

Khi quản lý, bảo mật và bảo trì hệ thống càng lúc càng trở nên quan trọng, kỹ sư và cácnhà quản trị mạng đang phải đối mặt với vấn đề làm thế nào để cải thiện tốc độ và hiệu suấtmạng Mặt khác, cơ sở hạ tầng mạng ngày càng trở nên phức tạp và công nghệ mạng phát triểnchóng mặt, việc thực hiện bảo trì và quản trị mạng trở nên khó khăn hơn bao giờ hết! Do đó cáccông cụ quản trị mạng đã ra đời để giúp đỡ các quản trị mạng trong công việc Trong đó,Colasoft Capsa là một trong những công cụ tốt nhất có thể giúp các quản trị viên phát hiện vàgiải quyết các sự cố mạng xảy ra Bài viết này sẽ giới thiệu về Capsa với các chức năng, phươngthức hoạt động, tính năng, cách sử dụng,… Và những ưu khuyết điểm của nó so với các công cụquản trị mạng khác (Wireshark, Orion)

Mục Lục

Tóm tắt nội dung ……… 2

I.Giới thiệu tổng quan ……… 4

II Công cụ quản trị mạng Capsa ……… 4

1. Giới thiệu về công cụ quản trị mạng Capsa ……… 4

2 Mô tả các chức năng của công cụ ……… 5

2.1. Chức năng ……… 5

2.2 Phương thức hoạt động ……… 7

2.2.1. Thu thập dữ liệu ……… 7

2.2.2 Phân tích dữ liệu ……… 8

2.2.3. Lưu trữ dữ liệu ……… 9

3 Các tính năng chính ……….……… 9

III. Đánh giá công cụ (so với Wireshark và Orion) ……….……… 13

1 Điểm mạnh ……….………… 13

2. Điểm yếu ……….……… 17

IV Lời khuyên ……….……… 18

V. Kết luận ……… 19

VI Tài liệu tham khảo …….……… 20

I Giới thiệu tổng quan:

Mục đích : giới thiệu về công cụ quản trị mạng Colasoft Capsa

Tổng quan và y êu cầu đề tài : giới thiệu về công cụ quản trị mạng Colasoft Capsa với các thuộc

tính: chức năng, phương thức hoạt động, cách sử dụng, điểm mạnh, điểm yếu, những vấn đề cầnlưu ý,… So sánh đối chiếu những đặc điểm đó với các công cụ quản trị mạng khác (Wireshark,Orion)

II Công cụ quản trị mạng Capsa:

1 Giới thiệu về công cụ quản trị mạng Capsa:

Capsa là một công cụ phân tích mạng (phân tích hay sniffer gói tin) được phát triển bởihãng Colasoft dùng cho việc monitor mạng và troubleshooting Nó có 2 phiên bản là: bản miễnphí Free Editon và bản thương mại Enterprise Editon

Colasoft được thành lập vào năm 2001 và là một nhà cung cấp sáng tạo cho những phầnmềm theo dõi hoạt động mạng Hiện nay, hơn 5000 khách hàng tại hơn 80 quốc qia tin tưởng sảnphẩm Capsa như Sony Ericsson, Airbus, Dell, Ericsson, IBM, Intel, pepsi…

 Phân tích lưu lượng truy cập bất thường

 Phân tích các cuộc tấn công giả mạo địa chỉ IP, MAC

 Phân tích tấn công phân mảnh dữ liệu và tấn công tràn bộ đệm

 Phân tích tấn công DoS / DDoS / DRDoS

Phân tích các giao tiếp TCP

 Phân tích việc truyền nhận email bất thường trong mạng

 Phân tích việc truyền nhận FTP có bình thường trong mạng

 Xác định các nút bão Broadcast / Multicast

 Xác định các gói tin truyền trong mạng có đúng hay không

 Xác định các sự cố mạng

 Xác định các truy cập của My Network Place có chính xác hay không

 Phát hiện sự cố chuyển mạch ngừng hoạt động trong mạng

 Phát hiện sâu máy tính tấn công trong mạng

 Phát hiện các máy tính bị nhiễm virus

 Phân tích và xác định vị trí nút làm mạng chậm

 Phân tích và xác định vị trí nút làm mạng không ổn định

 Phân tích và xác định nguyên nhân người dùng không thể truy cập internet

 Phân tích và xác định vị trí máy tính đang download Bit Torrent

 Phát hiện các hành vi quét cổng và các cuộc tấn công trên cổng

 Phát hiện các cuộc tấn công dò mật khẩu

 Phát hiện các cuộc tấn công máy chủ web

 Phát hiện các sự cố card mạng và tốc độ truyền tải của thiết bị

 Phát hiện các hoạt động của chương trình HTTP Proxy, chẳng hạn như MSN

 Lưu tất cả các gói tin trên mạng vào đĩa cứng

2.2 Phương thức hoạt động:

2.2.1 Thu thập dữ liệu:

 Cài đặt Colasoft NDIS Protocol Driver trên Windows, thu thập các gói tin truyền từ NIC

 Cài đặt Colasoft NDIS intermediate Driver trên Windows, thu thập các gói tin truyền từ NIC

 Cài đặt Colasoft NDIS Protocol TDI Driver trên Windows để thu thập các gói tin loopback của localhost

Theo mặc định, Capsa thu thập các gói tin bằng cách cài đặt Colasoft NDIS Protocol Driver vàColasoft TDI Driver Khả năng thu thập hiệu quả đặc biệt quan trọng cho việc thu thập các góitin Để nâng cao hiệu suất thu thập, lọc các gói dữ liệu thu thập được và loại bỏ những gói khôngkhớp với các quy tắc lọc trong lõi chương trình để giảm tài nguyên tiêu thụ trong quá trình xử lícác gói dữ liệu từ trong lõi của hệ thống đến giao diện người dùng

Hình 1- Quá trình thu thập gói tin của Capsa

2.2.2 Phân tích dữ liệu:

Lõi của hệ thống phân tích gói tin khớp với các quy tắc lọc ngay sau khi nhận được Các

dữ liệuphân tích bao gồm số liệu thống kê, giải mã các gói tin, mô phỏng lại TCP, phân tích giaothức,…

Hình 2 - quá trình phân tích dữ liệu của Capsa

2.2.3 Lưu trữ dữ liệu :

Các gói tin sẽ được lưu trữ trong bộ đệm tạm thời, và những gói tin có thể được xuất racác file định dạng chuẩn Các gói tin trong bộ đệm có thể được tự động lưu vào đĩa cứng Kếtquả phân tích có thể được hiển thị dưới dạng bảng, đồ thị, bản ghi log và báo cáo Tất cả số liệuthống kê có thể được lưu sang đĩa cứng

3 Các tính năng chính:

Capsa 7.x tăng cường nhiều tính năng mạnh mẽ, bao gồm một số tính năng độc đáo sovới các các chương trình thu thập gói tin khác

Hồ sơ phân tích (Analysis Profile): Capsa định nghĩa hồ sơ phân tích như tập hợp các

mô-đun phân tích khác nhau Kiến trúc này có thể đảm bảo mỗi hồ sơ phân tích có khả năng mởrộng, linh hoạt và hiệu suất phân tích cao nhất Chúng ta có thể kết hợp các mô-đun phân tíchkhác nhau để tạo ra hồ sơ phân tích riêng của mình để tập trung vào các ứng dụng nhất định

Loại phân tích Hồ sơ phân tích Mô tả

Phân tích cơ bản

Giám sát lưu lượng Cung cấp khả năng phân tích lưu lượng mạng lớn hoặc giám sát lưu lượng (hỗ trợ card mạng

1Gb)Phân tích hoàn toàn Cung cấp khả năng phân tích thống kê chi tiết tất cả lưu lượng và các ứng dụng

Phân tích ứng dụng

Phân tích HTTP Phân tích lưu lượng HTTP Thống kê truy cập của máy khách và máy chủ,ghi lại truyền nhận

HTTP

Phân tích FTP Phân tích lưu lượng FTP, thống kê upload, download ghi lại truyền nhận FTP

Phân tích Email Phân tích lưu lượng SMTP/POP3 Thống kê về emailnhân bản email và ghi lại truyền nhận

Tùy biến giao thức:

Capsa nhận diện hơn 300 giao thức và giao thức phụ Chúng ta có thể dễ dàng tạo ra các quy tắc

để nhận diện các giao thức mới theo yêu cầu cụ thể Chúng ta có thể chỉ định các giao thức bằngkiểu Ethernet, id giao thức đóng gói IP, TCP port và UDP port

Cửa sổ Explorer linh hoạt:

Cửa sổ Explorer, giao diện tương tự như Windows Resource Manager, thuận tiện và nhiều tínhnăng hơn Chúng ta không chỉ có thể xem trạng thái hiện tại mỗi nút mà cũng có thể nhanhchóng chuyển đổi giữa thống kê tổng thể và chi tiết của mỗi nút mạng cụ thể Trong cửa sổ này,tất cả các nút mạng được phân thành ba nhóm: Protocol Explorer, Physical Explorer, IP Explorer

Protocol Explorer - nhóm này liệt kê các thiết bị đầu cuối theo giao thức

Physical Explorer - nhóm này liệt kê các thiết bị đầu cuối mạng theo địa chỉ vật lý

IP Explorer - nhóm này liệt kê các thiết bị đầu cuối mạng theo địa chỉ IP

Tùy biến bảng điều khiển: Bảng điều khiển cung cấp một loạt các thống kê đồ thị và cho phép

chúng ta tùy biến tạo ra đồ thị và biểu đồ hữu ích trong các bảng khác nhau để có được thống kêtheo bất kỳ địa chỉ MAC, IP và giao thức nào Những đồ thị và biểu đồ giúp chúng ta tìm ra điểmbất thường trong nháy mắt

Báo động thời gian thực: trong Capsa, Chúng ta có thể tùy chỉnh kích hoạt báo động như tổng

lưu lượng truy cập, giao thức… Chúng ta sẽ được thông báo ngay lập tức qua cửa sổ pop-up vớicác thông số quan trọng và thông tin liên quan để giúp xử lý kịp thời những bất thường Nếuchúng ta không ngồi tại máy tính, bản ghi log báo động sẽ được thực hiện và các thông tin quantrọng sẽ được lưu lại

Báo cáo: Một báo cáo gồm các thông tin thống kê và thống kê tóm tắt, sự kiện, thống kê giao

thức, top 10, đồ thị với các cài đặt hiện hành Ngoài ra, Chúng ta có thể tùy chỉnh các mẫu báocáo và lưu báo cáo dưới dạng HTML hoặc định dạng PDF vào đĩa

Ma trận: Giao diện Ma trận trong Capsa là một công cụ mạnh mẽ để thể hiện thống kê lưu lượng

trong thời gian thực Các nút được bố trí trong một hình elip thuôn dài và độ đậm đường kẻ đểcho biết khối lượng giao thông giữa các nút Chúng ta có thể xem thống kê ma trận cho mạngtổng thể hay tại các nút mạng cụ thể

Tính năng chẩn đoán mạng cao cấp (Diagnosis): Cửa sổ diagnosis trình bày các sự kiện chẩn

đoán của mạng tổng thể hoặc tại nút mạng cụ thể, giúp chúng ta có xác định nhanh chóng xácđịnh vị trí nút mạng có sự cố và có phương án khắc phục

Bộ lọc gói tin: Capsa cung cấp hai loại bộ lọc: Bộ lọc đơn giản và Bộ lọc nâng cao bộ lọc đơn

giản cho phép Chúng ta tùy chỉnh các thông số theo địa chỉ, và giao thức trong một bộ lọc duynhất Bộ lọc nâng cao trong Capsa cũng cho phép Chúng ta tạo các bộ lọc giá trị gói tin, bộ lọckích thước gói tin và bộ lọc gói tin mẫu theo các quy tắc logic And, Or, Not Thiết kế mới chophép chúng ta dễ dàng tìm hiểu làm thế nào các bộ lọc gói được kết hợp và xử lý

Giải mã gói tin: giải mã các gói tin và hiển thị thông tin chi tiết theo mã Hex, ASCII hoặc

EBCDIC Thông tin gói được hiển thị trên bảng giải mã

Mô phỏng lại giao tiếp TCP: thông tin ban đầu có thể được mô phỏng lại từ các mảnh dữ liệu

thông qua việc mô phỏng lại giao tiếp TCP từ những mảnh của gói tin truyền nhận Quá trìnhphân tích có thể được nhìn thấy ở cửa sổ Conversation, phiên làm việc, truyền nhận thông tingiữa máy khách và máy chủ Người quản trị có khả năng nắm tất cả các hoạt động trong mạng

Phân tích bản ghi log: Các bản ghi quá trình truyền nhận trong mạng được phân tích bằng bộ

phân tích cao cấp, bao gồm Email log, FTP log, HTTP request log, DNS log, giám sát MSN,Yahoo Messenger Capsa có thể tạo ra file log file duy nhất hoặc tách riêng kết quả phân tíchbằng bộ phân tích cao cấp

Cửa sổ thống kê: Những cửa sổ thống kê được thiết kế lại, làm giảm với tổng khối lượng các

hạng mục thống kê và cho phép chúng ta tìm thấy thông tin cần thiết với ít lần click chuột hơn

Nó còn cho phép chúng ta nắm được các hoạt động của toàn mạng Tính năng này cũng rất hữuích khi chúng ta cần phải so sánh các đồ thị và báo cáo (3)

III Đánh giá công cụ (so sánh với wireshark và orion):

1 Điểm mạnh:

Chương trình có giao diện đơn giản, dễ sử dụng hơn wireshark hay orion Trong bảng điềukhiển chính, bạn có thể dễ dàng xác định các mức chuẩn đoán theo hướng dẫn Sau đó, cấu hình

cụ thể khi áp dụng bên trong hệ thống của bạn với những form mẫu và số liệu có sẵn Và thực tế

là không phải quản trị viên nào cũng thành thạo trong việc cấu hình các thiết bị phần cứng, dovậy họ rất cần đến những công cụ hỗ trợ tốt trong việc này Với Capsa, người sử dụng sẽ khôngphải tốn quá nhiều thời gian và công sức để cấu hình:

CapsaViệc thiết lập các ứng dụng cần thiết để phân tích toàn bộ hoạt động của hệ thống mạngyêu cầu mức chi phí không hề rẻ Khi sử dụng Capsa, bạn sẽ tiết kiệm được khá nhiều thời gian,chi phí và công sức so với trước kia Kết quả phân tích được đưa ra rất chi tiết và khoa học, tínhnăng Matrix đi kèm giúp người quản lý theo dõi được toàn bộ tình hình lưu thông dữ liệu trong

hệ thống mạng, họ chỉ cần di chuột qua những dòng hiển thị thông tin tương ứng với độ dày –mỏng trên màn hình (đường càng đậm nghĩa là mật độ “giao thông” ở đây càng dày), do đó bạn

sẽ biết chính xác kết nối nào đang gây ra hiện tượng nghẽn mạng trong hệ thống

(3)

Colasoft Capsa cung cấp nhiều tính năng phân tích được tìm thấy trong wireshark Ví dụ,

cả 2 chương trình có thể hiển thị thiết bị đầu cuối và các giao thức từ các gói tin bị bắt cùng với

số liệu thông kê về số lượng thông tin gửi và nhận được mỗi lần Sự khác biệt là Capsa thêmhình ảnh diễn giải số liệu thống kê

Capsa có thể chụp được loopback trong khi wireshark không thể (4)

Các tab chuẩn đoán trong Capsa giúp theo dõi và giải quyết các vấn đề trên mạng Thêmvào đó, capsa còn đi kèm với các công cụ mở rộng: MAC scanner, Packet Builder, PacketPlayer, Ping

Báo cáo capsa gồm các thông tin thống kê và thống kê tóm tắt, sự kiện, thống kê giaothức, top 10, đồ thị với các cài đặt hiện hành Ngoài ra, Chúng ta có thể tùy chỉnh các mẫu báocáo và lưu báo cáo dưới dạng HTML hoặc định dạng PDF vào đĩa Trong khi đó tính năng báocáo của Orion khá hạn chế (5)

Giá tiền license của Capsa rẻ hơn nhiều so với Orion Capsa: 299$ -> 2999$ Orion: 1495$ -> 4995$ (6)

Với wireshark : port của windows đòi hỏi GTK+ và Glib (7)

So với Capsa, Orion đòi hỏi cấu hình cao và phải có các phần mềm hổ trợ khác :

2 Điểm yếu:

Capsa thường chỉ dùng cho các doanh nghiệp với những mạng vừa và nhỏ, những mang lớn thì Orion hoạt động tốt hơn.

Capsa bản free không có chức năng tạo báo cáo

Capsa free có thể giải mã hơn 300 giao thức trong khi Wireshark có thể hỗ trợ hơn 500 giao thức, đặc biệt những gói tin wireless và voip capsa free không giải mã được mà wireshark làlàm được

Không chỉ vậy, Capsa chỉ dựa vào windows để phân tích mạng, nó không thể hoạt động trên unix, linux…

(9 )

IV Lời khuyên:

Capsa là công cụ chạy rất tốt trên windows, đặc biệt là thân thiện nhất với windows 7 Để

sử dụng Capsa Free hiệu quả, ta cần có chút kiến thức về giao thức Internet hoặc phải là ngườiđam mê khám phá các công cụ, tiện ích máy tính

Capsa là phần mềm có hổ trợ bản free (sẽ bị hạn chế một số chức năng), để có thể khắcphục sự cố lỗi mạng một cách tốt nhất phục vụ cho công việc chúng ta nên mua bản quyền

Trong quá trình sử dụng Capsa, chúng ta nên thiết lập cảnh báo nếu xuất hiện luồng dữliệu “lạ”, điều này sẽ giúp ta sớm nhận biết được cuộc tấn công mà đề phòng , đồng thời sử dụngcác hướng dẫn trực tuyến của công cụ để giúp giải quyết các vấn đề phức tạp

Đặt máy chạy Capsa trong SPAN port hoặc SPAN vlan để sniff tất cả các gói tin đi quaswitch Core hoặc Distribution

V Kết luận:

Việc bảo trì và quản trị mạng ngày nay trở nên ngày càng phức tạp Khi sử dụng Capsa,bạn sẽ tiết kiệm được khá nhiều thời gian, chi phí và công sức, Capsa làm cho hệ thống mạng trởnên trong suốt với các khả năng thu thập dữ liệu, giải mã gói tin, phân tích cũng như các chứcnăng mạnh mẽ khác về thống kê số liệu, báo cáo, ghi log và hiển thị dạng đồ thị Kết quả phân