วันนี้เรามารู้จัก วิธีการวิเคราะห์ทราฟฟิกในเครือข่ายกัน มีวิธีอยุ่หลายวิธี
แต่ที่จะยกตัวอย่าง 2 วิธี ดังนี้
1. ใช้ Wireshark ดักแพ็กเก็ตที่เข้าออกเครือข่าย
2. ใช้ Netflow วิเคราะห์
1. การใช้ Wireshark ดักจับข้อมูล สามารถทำได้โดยหาอุปกรณ์ที่ต้องการไปวางไว้ตรงกลางของระบบ เพื่อให้ข้อมูลวิ่งผ่านเครื่องคอมพิวเตอร์ แล้วส่งต่อไปยังปลายทางตามปกติ ใช้หลักการในลักษณะของ “Man-in the Middle” ซึ่งการที่เราจะทำให้เครื่องคอมพิวเตอร์สามารถรับแพ็กเก็ตทุกแพ็กเก็ตได้นั้น จะต้องมีการปรับโหมดการทำงานของ interface card นั้นๆ ให้เป็น Promiscuous mode ก่อน ซึ่งในกรณีนี้ตัวโปรแกรม wireshark จะเป็นตัว enable การทำงานในโหมดนี้ ทำให้เราสามารถรับทุกแพ็กเก็ตที่ไม่ใช่ของเรามาวิเคราะห์ได้ หลังจากที่เราเตรียมคอมพิวเตอร์แล้ว จากนั้นเราก็ต้องทำการเอา Hub/Switch มาวางขั้น เพื่อให้ทำการ mirror ข้อมูลที่วิ่งเข้าออก มายังพอร์ตที่เราต้องการ ซึ่งถ้าหากเป็น Hub ก็ไม่ต้องทำอะไรเพิ่มเติม เนื่องจากแพ็กเก็ตข้อมูลที่วิ่งเข้าออก ถูกก๊อปปี้ออกทุกพอร์ตอยู่แล้ว แต่ถ้าหากเป็น Switch เราก็ต้องคอนฟิก mirror port ก่อนดังนี้
Switch(config)#monitor session 0 both source interface fa0/1 ; ในกรณีที่เราต้องการก๊อปปี้้ข้อมูลที่วิ่งเข้าออกที่ผ่านพอร์ต fa0/1
Switch(config)#monitor session 0 destination interface fa0/24 ; ในกรณีที่เราต้องการก๊อปปี้ข้อมูลดังกล่าวไปยังพอร์ต fa0/24
เพียงเท่านี้เราก็จะได้ทราฟฟิกที่ิวิ่งทุกแพ็กเก็ตมายังโปรแกรม wireshark
2.ใช้ tools netflow ซึ่งบรรจุมาอยู่ในอุปกรณ์อย่างเช่น switch / router ของ cisco อยู่แล้ว ซึ่งจะมาบอกคอนฟิกต่อไปในภายหลัง …
IT Blog 
ใส่ความเห็น