Tối ưu hóa và kiểm tra độ trễ mạng với PingPlotter và Wireshark.

PCHardwarePro » Cửa sổ » Tối ưu hóa và kiểm tra độ trễ mạng với PingPlotter và Wireshark.

Kiểm soát độ trễ giữa máy chủ và ứng dụng. Việc này không còn chỉ là một "tính năng bổ sung" dành cho các quản trị viên mạng chuyên nghiệp nữa: nó là vấn đề kinh doanh cốt lõi. Khi máy chủ phản hồi chậm, trang web sẽ chậm lại, ứng dụng bị lỗi và người dùng cũng như hệ thống bắt đầu phàn nàn. Trong môi trường ảo hóa với bộ cân bằng tải, tường lửa, Nexus, ESXi, v.v., việc biết liệu vấn đề có thực sự xảy ra hay không và nó xảy ra ở đâu là chìa khóa để tránh mất thời gian và công sức can thiệp vào những thứ không đúng.

Wireshark và các công cụ như PingPlotter hoặc Omnipeek. Chúng cho phép bạn vượt xa khả năng kiểm tra ping thông thường. Với chúng, bạn có thể đo chính xác thời gian khứ hồi, xác định vị trí mất gói, xem liệu bộ cân bằng tải có gây ra độ trễ hay không, liệu VMware hoặc bộ chuyển mạch có gây ra hiện tượng giật lag hay không, hoặc liệu ứng dụng có phải là nguyên nhân gây ra vấn đề. Trong bài viết này, bạn sẽ thấy chi tiết cách tối ưu hóa và kiểm tra độ trễ mạng bằng cách kết hợp thu thập gói tin và phân tích đồ họa, và cách áp dụng tất cả những điều này vào các tình huống thực tế với máy chủ ảo và bộ chuyển mạch Nexus.

Độ trễ mạng là gì và tại sao nó lại tăng đột biến?

Độ trễ mạng là tổng thời gian cần thiết để xử lý một yêu cầu. Quá trình truyền dữ liệu từ nguồn đến đích, xử lý và trả về kết quả đều mất thời gian. Đây là điều bạn sẽ thấy trong nhiều tài liệu hướng dẫn dưới dạng RTT (Thời gian khứ hồi). Mỗi lần nhấp chuột vào liên kết, mỗi truy vấn đến máy chủ web hoặc cơ sở dữ liệu đều di chuyển qua mạng và quay trở lại, tạo ra những độ trễ nhỏ ở mỗi chặng.

Khi chúng ta nói về độ trễ thấp Chúng ta đang nói đến độ trễ rất ngắn, gần như không thể nhận biết được đối với người dùng. Ngược lại, độ trễ quá lớn khiến việc mở trang web, tải báo cáo hoặc chơi game trực tuyến trở nên khó chịu. Ngay cả với băng thông cao, độ trễ kém cũng làm giảm đáng kể cảm nhận về tốc độ.

Trên thực tế, độ trễ bao gồm cả thời gian truyền tải dữ liệu trên toàn mạng. (bộ định tuyến, bộ chuyển mạch, bộ cân bằng tải, liên kết WAN…) chẳng hạn như thời gian máy chủ đích xử lý yêu cầu. Nếu máy chủ của bạn bị quá tải hoặc ứng dụng thực hiện các yêu cầu nối tiếp đến các dịch vụ khác, bạn có thể gặp phải tình trạng “mạng chậm” ngay cả khi đường dẫn IP hoàn hảo.

Trong số những nguyên nhân phổ biến nhất gây ra độ trễ cao Các nguyên nhân này bao gồm tắc nghẽn mạng, mất gói dữ liệu, hàng đợi tại các thiết bị trung gian, kích thước cửa sổ TCP được điều chỉnh không tốt, sự phụ thuộc giữa các ứng dụng, và tất nhiên, phần cứng hoặc cấu hình được tối ưu hóa kém. Nhiệm vụ của bạn khi giám sát bằng Wireshark và PingPlotter là loại bỏ, từng lớp một, nguồn gốc của điểm nghẽn.

Wireshark: công cụ sắc bén để xem điều gì đang xảy ra trên mạng.

Wireshark là công cụ phân tích giao thức mạng được sử dụng rộng rãi nhất trên thế giới.Nó là phần mềm mã nguồn mở và miễn phí. Nó có thể thực hiện kiểm tra chuyên sâu hàng trăm giao thức trên tất cả các lớp: vật lý, liên kết dữ liệu, mạng, vận chuyển và ứng dụng. Nó ghi lại lưu lượng truy cập theo thời gian thực và cho phép bạn lưu lại để phân tích sau này, thậm chí trên một máy tính khác.

Công cụ này có thể được sử dụng với giao diện người dùng đồ họa (GUI). Hoặc thông qua công cụ dòng lệnh tương đương, TShark, lý tưởng nếu bạn muốn làm việc qua SSH hoặc tự động hóa phân tích trong các tập lệnh. Wireshark đọc và ghi các định dạng ghi dữ liệu chuẩn như libpcap (tcpdump), pcapng và nhiều phần mở rộng khác, vì vậy nó hoàn toàn phù hợp với các thiết bị ghi dữ liệu bên ngoài từ bộ định tuyến, tường lửa hoặc các hệ thống như pfSense.

Một trong những trụ cột của Wireshark là các bộ lọc.Các bộ lọc này, cả để thu thập và hiển thị, cho phép bạn chỉ tập trung vào lưu lượng truy cập mà bạn quan tâm: một địa chỉ IP cụ thể, một cặp nguồn/đích, một cổng, một giao thức, các luồng TCP riêng lẻ, v.v. Nếu không có bộ lọc, bạn sẽ bị chìm trong hàng nghìn gói tin không liên quan.

Về khả năng tương thích, Wireshark là phần mềm đa nền tảng.Nó hoạt động trên Windows, Linux và macOS, và được tích hợp sẵn trong nhiều bản phân phối tập trung vào an ninh mạng. Nó hỗ trợ nhiều công nghệ mạng khác nhau (Ethernet, Wi-Fi IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI, v.v.) và, với các khóa thích hợp, thậm chí có thể giải mã IPsec, TLS/SSL, Kerberos, SNMPv3, WEP, WPA/WPA2 và các giao thức mã hóa khác.

Cài đặt, ghi lại và tùy chỉnh Wireshark

Để cài đặt Wireshark, bạn chỉ cần truy cập trang web chính thức của nó.Tải xuống phiên bản dành cho hệ điều hành của bạn và làm theo hướng dẫn. Trên Windows, Npcap, trình điều khiển giúp đưa card mạng vào chế độ promiscuous để thu thập tất cả lưu lượng truy cập đến và đi, cũng được cài đặt. Npcap hiện là một giải pháp thay thế hoàn thiện và liền mạch cho WinPcap cũ; bạn có thể tìm hiểu thêm tại đây. tối ưu hóa ưu tiên kết nối.

Trên các hệ thống Linux, nó thường nằm trong trình quản lý gói.Ví dụ, trong Debian/Ubuntu, bạn có thể sử dụng một cách đơn giản. sudo apt cài đặt WiresharkViệc luôn sử dụng phiên bản mới nhất là điều nên làm vì lý do bảo mật và để trải nghiệm các tính năng mới.

Khi bạn mở Wireshark, bạn sẽ thấy tất cả các giao diện mạng của máy tính.Điều này bao gồm các card mạng vật lý có dây, Wi-Fi và các giao diện ảo (VMware, VirtualBox, đường hầm, v.v.). Chỉ cần xác định card mạng bạn quan tâm (ví dụ: card mạng của máy chủ ESXi hoặc máy chủ bị ảnh hưởng) và nhấp đúp để bắt đầu thu thập dữ liệu.

Trước khi tiến hành thu thập dữ liệu để phân tích độ trễ hoặc các điểm nghẽn. Bạn nên đóng tất cả các ứng dụng tạo ra lưu lượng truy cập không cần thiết và, nếu điều kiện cho phép, tạm thời tắt tường lửa cục bộ để nó không chặn hoặc sửa đổi lưu lượng truy cập mà bạn muốn giám sát. Điều này giúp giảm nhiễu và chỉ giữ lại các liên lạc có liên quan.

Wireshark cung cấp nhiều tùy chọn tùy chỉnh giao diện.Bạn có thể sắp xếp lại các bảng điều khiển, thay đổi bảng màu, thêm hoặc xóa cột (ví dụ: hiển thị độ lệch thời gian giữa các gói, cổng, số byte đang truyền, v.v.), tạo các cấu hình công việc khác nhau theo loại phân tích và sử dụng các tập lệnh bằng Lua hoặc Python để tự động hóa các tác vụ phức tạp hoặc các phân tích cụ thể.

Ưu điểm và hạn chế của Wireshark trong việc giải quyết vấn đề độ trễ

Một trong những ưu điểm chính của Wireshark trong việc phân tích độ trễ là... Tính linh hoạt là một đặc điểm quan trọng: nó hỗ trợ hơn 480 giao thức, cho phép tái tạo phiên TCP, theo dõi luồng dữ liệu, phân tích thời gian phản hồi và phân tích số liệu thống kê về hội thoại và giao thức. Đây là một công cụ mạnh mẽ dành cho các quản trị viên mạng, nhà phát triển và các chuyên gia an ninh mạng.

Nó đặc biệt hữu ích để phát hiện lưu lượng giao thông quá tải.Các vấn đề như tiêu thụ quá mức, mất gói dữ liệu, truyền lại và các lỗ hổng bảo mật đều được đề cập. Hơn nữa, trong môi trường giáo dục, việc hiểu cách các gói dữ liệu được cấu tạo và lưu chuyển, chúng chứa gì, sử dụng cổng nào, các giao thức nào liên quan, và ví dụ như một gói tin ping ICMP, một quá trình phân giải DNS, hoặc một phiên TLS thô trông như thế nào là rất hữu ích.

Mặt khác, nếu bạn mới bắt đầu sử dụng mạng xã hội Việc giải thích tất cả các trường trong gói dữ liệu có thể khá khó khăn. Cần có thời gian để làm quen: ban đầu, rất khó để phân biệt đâu là thông tin quan trọng và đâu chỉ là nhiễu. Cũng cần lưu ý rằng việc thu thập gói dữ liệu yêu cầu quyền quản trị cao trên hầu hết các hệ thống, đây là một lợi ích về bảo mật, nhưng có thể gây rắc rối trong thực tế.

Một điểm khác cần lưu ý là việc thu thập dữ liệu cục bộ không phải lúc nào cũng phản ánh chính xác thực tế. Bạn chỉ thấy lưu lượng truy cập thực tế chảy qua toàn bộ mạng: bạn chỉ thấy những gì đi qua giao diện cụ thể đó. Hơn nữa, việc ghi lại lưu lượng quá dài hoặc có lưu lượng truy cập rất cao có thể tiêu tốn nhiều RAM và CPU, và làm chậm thiết bị mà bạn đang sử dụng để ghi lại, đặc biệt nếu bạn áp dụng các bộ lọc thời gian thực phức tạp.

Tin vui là Wireshark vẫn tiếp tục nhận được các bản cập nhật. Cập nhật thường xuyên, với những cải tiến về hiệu năng, các bản vá bảo mật và các giao thức mới. Nó không có đối thủ rõ ràng nào, ít nhất là không có phần mềm miễn phí nào, với cùng mức độ chuyên sâu và cộng đồng người dùng, đó là lý do tại sao nó vẫn là "dao đa năng" trong phân tích gói dữ liệu.

Cách sử dụng Wireshark để đo lường và hiểu độ trễ

Wireshark không chỉ ghi lại các gói dữ liệu mà còn đo cả thời gian.Bạn có thể tính toán thời gian phản hồi đến, thời gian trễ của gói TCP ACK, hoặc độ trễ giữa yêu cầu HTTP và phản hồi của máy chủ. Điều này rất quan trọng khi bạn muốn kiểm tra xem "mạng bị lỗi" hay vấn đề thực sự nằm ở máy chủ hoặc ứng dụng.

Một cách đơn giản để đánh giá độ trễ là thông qua biểu đồ luồng TCP. (Thống kê > Biểu đồ luồng TCP > Biểu đồ thời gian khứ hồi). Tại đây, bạn có thể thấy thời gian khứ hồi thực tế (RTT) của kết nối theo thời gian, xác định các đỉnh và đáy hiệu suất, và xem liệu tuyến đường có độ trễ cao gây ra hiện tượng chậm khi tải xuống tệp hoặc tải trang hay không.

Ngoài ra, Wireshark hiển thị các dấu hiệu truyền lại.Các gói tin ACK trùng lặp, gói tin không theo thứ tự và các triệu chứng điển hình khác của mất gói và tắc nghẽn mạng. Những dấu hiệu này, kết hợp với thời gian giữa các phân đoạn, sẽ giúp bạn phân biệt xem độ trễ là do chính tuyến đường hay do cần phải gửi lại các gói tin bị mất.

Đối với các ứng dụng web, phân tích HTTP/HTTPS là rất quan trọng.Bạn có thể sử dụng số liệu thống kê tải HTTP để xem một trang kết nối đến những tên miền bên ngoài nào (quảng cáo, CDN, trình theo dõi, API của bên thứ ba, v.v.). Giống như ví dụ về một cổng thông tin như ESPN, một lần truy cập có thể kích hoạt các yêu cầu đến hơn chục máy chủ, và nếu một hoặc hai trong số đó phản hồi chậm, điều đó có thể ảnh hưởng tiêu cực đến toàn bộ trải nghiệm người dùng.

Tóm lại, Wireshark giúp bạn phân tích quá trình giao tiếp. Mỗi giai đoạn bao gồm: phát hiện DNS, thiết lập kết nối TCP (SYN, SYN/ACK, ACK), đàm phán TLS (nếu có), yêu cầu ứng dụng, phản hồi và đóng phiên. Bằng cách đo thời gian giữa các điểm quan trọng này, bạn có thể xác định xem vấn đề nằm ở mạng, máy chủ, bộ cân bằng tải hay logic ứng dụng.

Tình huống thực tế: độ trễ giữa hai máy chủ trong cùng một trung tâm dữ liệu.

Hãy tưởng tượng trường hợp điển hình: hai máy chủ ảo trong cùng một trung tâm dữ liệu.Cả hai máy chủ đều đang chạy VMware ESXi và được kết nối với các thiết bị chuyển mạch Cisco Nexus. Một máy chủ giao tiếp với máy chủ còn lại thông qua bộ cân bằng tải, đồng thời bộ cân bằng tải này cũng đóng vai trò là bộ định tuyến cho phân đoạn đó (không phải là lý tưởng, nhưng khá phổ biến). Hệ thống báo lỗi rằng "có độ trễ rất lớn giữa hai máy chủ này".

Việc đầu tiên cần làm là kiểm tra xem vấn đề độ trễ đó có thực sự tồn tại hay không.Để làm điều này, bạn có thể kết hợp một số phương pháp: công cụ dòng lệnh (Lệnh ping để đo độ trễSử dụng lệnh traceroute, vẽ đồ thị bằng PingPlotter và phân tích chi tiết bằng Wireshark. Mục đích là để xác định đoạn nào của tuyến đường bị chậm trễ.

Một phương pháp phổ biến là thu thập dữ liệu lưu lượng truy cập tại nhiều điểm khác nhau.Trên máy ảo nguồn, trên máy chủ ESXi của máy ảo đó (nếu bạn có quyền truy cập vào giao diện ảo), trên bộ cân bằng tải và, nếu có thể, trên máy chủ đích hoặc máy chủ ESXi của nó. Càng nhiều điểm dọc theo đường dẫn, càng dễ dàng xác định chính xác nơi thời gian khứ hồi bị kéo dài.

Trong môi trường VMware, bạn có thể sử dụng tính năng phản chiếu cổng trên vSwitch. hoặc trên các thiết bị Nexus, gửi lưu lượng truy cập từ một cổng hoặc VLAN đến một giao diện mà bạn có trình phân tích gói tin (Wireshark, tcpdump, Omnipeek…) và xem xét. Hướng dẫn đầy đủ về cáp EthernetTrên các thiết bị Nexus, việc sử dụng SPAN hoặc ERSPAN để kết nối với bộ phân tích tập trung sẽ cho phép bạn xem cả lưu lượng truy cập đến và đi cho phân đoạn mà bạn quan tâm.

Riêng Wireshark không "kết hợp" các bản ghi bắt cổng khác nhau. Để tự động cung cấp cho bạn sự chênh lệch thời gian giữa hai điểm khác nhau, nhưng bạn có thể so sánh dấu thời gian giữa các lần ghi nếu đồng hồ được đồng bộ hóa đúng cách (NTP). Các công cụ thương mại như Omnipeek hoặc môi trường phân tích tập trung hỗ trợ việc tương quan đa giao diện này, rất hữu ích khi bạn muốn biết vấn đề nằm ở đầu vào hay đầu ra của Nexus hoặc bộ cân bằng tải.

Phương pháp thực tiễn để phân tích độ trễ bằng Wireshark và PingPlotter

Một quy trình làm việc hợp lý cho những trường hợp này có thể là: Phần sau đây kết hợp các khuyến nghị tiêu chuẩn với khả năng của các công cụ:

1. Xác định rõ điểm xuất phát và điểm đến của giao thông. Những thông tin gây ra sự cố bao gồm: địa chỉ IP của máy ảo nguồn, địa chỉ IP ảo của bộ cân bằng tải (VIP) và địa chỉ IP thực của máy ảo đích. Cũng cần lưu ý các cổng liên quan (ví dụ: 443 cho HTTPS hoặc 1433 cho SQL Server).

2. Chạy PingPlotter từ máy chủ nguồn. Đến địa chỉ IP của VIP và, nếu có thể, đến địa chỉ IP của máy chủ thực. PingPlotter sẽ liên tục hiển thị độ trễ và mất gói trên mỗi chặng, giúp bạn nhanh chóng phát hiện bất kỳ sự tăng đột biến hoặc mất gói nào dọc theo tuyến đường.

3. Trong khi sự cố đang xảy ra, hãy ghi lại nó bằng Wireshark. Trên máy chủ nguồn (hoặc trên một máy trong cùng phân vùng với SPAN). Lọc theo địa chỉ IP đích và cổng, ví dụ: ip.addr == XXXX và tcp.port == 443Hãy để lưu lượng truy cập lưu thông bình thường ngay cả khi ứng dụng "chậm".

4. Dừng quá trình ghi lại và sử dụng các công cụ phân tích của Wireshark.Theo dõi luồng TCP của kết nối gặp sự cố, xem biểu đồ RTT, kiểm tra việc truyền lại, cửa sổ bị thu hẹp, thời gian phản hồi yêu cầu của ứng dụng, v.v. Điều này sẽ cho bạn biết độ trễ nằm ở đường dẫn IP hay ở chính máy chủ (khi máy chủ mất nhiều thời gian để phản hồi sau khi nhận được yêu cầu).

5. Nếu bạn nghi ngờ bộ cân bằng hoặc Nexus.Cấu hình tính năng phản chiếu cổng (port mirroring) trên các cổng vật lý hoặc logic mà lưu lượng truy cập đi qua. Sau đó, lặp lại thử nghiệm, thu thập dữ liệu tại các điểm trung gian đó. Bằng cách so sánh thời gian đến và đi của gói tin, bạn có thể thấy liệu các gói tin có bị "kẹt" tại bộ cân bằng tải hay không, liệu có chính sách nào ưu tiên lưu lượng truy cập khác hay không, hoặc liệu bộ chuyển mạch có tạo ra hàng đợi tắc nghẽn hay không.

6. Nếu bạn có quyền truy cập vào các công cụ như Omnipeek của Savvius.Bạn có thể tận dụng khả năng phân tích đa điểm của nó, theo như quảng cáo (và kinh nghiệm của một số quản trị viên), cho phép bạn đối chiếu các bản ghi từ nhiều cổng khác nhau và trực tiếp xem sự khác biệt về thời gian giữa lúc vào và lúc ra. Điều này rất hữu ích để cô lập các sự cố do thiết bị mạng cụ thể gây ra.

So sánh Wireshark với mất gói dữ liệu, tắc nghẽn mạng và kích thước cửa sổ.

Một trong những yếu tố ảnh hưởng nhiều nhất đến độ trễ cảm nhận Đây là hiện tượng mất gói dữ liệu. Mỗi khi một gói TCP bị mất, quá trình truyền lại sẽ diễn ra, và thuật toán kiểm soát tắc nghẽn sẽ giảm tốc độ truyền để "bảo vệ" mạng. Điều này làm tăng đáng kể thời gian tải xuống các tệp lớn hoặc truyền dữ liệu cường độ cao.

Trong Wireshark, hiện tượng mất gói dữ liệu rất rõ ràng. Thông qua các gói ACK trùng lặp, các gói truyền lại được đánh dấu màu đỏ hoặc cam, và các khoảng trống trong chuỗi số phân đoạn. Nếu bạn thấy nhiều gói ACK trùng lặp và gói truyền lại, đó là dấu hiệu rõ ràng cho thấy có điều gì đó trên tuyến đường đang chiếm dụng lưu lượng truy cập hoặc đang xảy ra tình trạng tắc nghẽn nghiêm trọng.

Công cụ này cũng giúp trực quan hóa tác động của các cửa sổ TCP.Cửa sổ trượt, cửa sổ nhận và cửa sổ tắc nghẽn đều là những yếu tố quan trọng. Sự kết hợp của chúng quyết định lượng dữ liệu có thể "đang được truyền" mà không cần xác nhận. Nếu cửa sổ nhận trở nên quá nhỏ (do bộ đệm không đủ hoặc ứng dụng chậm), điều kiện "cửa sổ bằng không" sẽ xảy ra, dẫn đến việc tạm dừng đột ngột trong quá trình truyền tải.

Trong các trường hợp RTT cao (liên kết đường dài, vệ tinh, v.v.)Cửa sổ TCP quá nhỏ sẽ làm giảm hiệu suất vì lượng dữ liệu truyền tải rất thấp so với dung lượng của đường truyền. Wireshark cho phép bạn kiểm tra xem cửa sổ được bên nhận quảng cáo có hợp lý với Tích số Băng thông Độ trễ (BDP) của đường truyền hay không, hoặc liệu bạn có nên bật tính năng điều chỉnh kích thước cửa sổ và điều chỉnh các tham số trong hệ điều hành hay không. Bật khung hình lớn.

Nếu bạn phát hiện tình trạng mất gói dữ liệu liên tụcLý tưởng nhất là bạn nên di chuyển điểm thu tín hiệu "về phía thượng nguồn" cho đến khi hiện tượng mất tín hiệu biến mất. Khoảng cách giữa điểm cuối cùng bị mất tín hiệu và điểm đầu tiên không bị mất tín hiệu sẽ giúp khoanh vùng thiết bị gây ra sự cố: có thể là bộ định tuyến bị quá tải, tường lửa đã đạt đến giới hạn, liên kết vật lý bị lỗi hoặc bộ cân bằng tải với CPU hoạt động ở mức 100%.

Các phụ thuộc ứng dụng, thiết bị trung gian và SSH với Wireshark

Không phải tất cả các vấn đề về độ trễ đều hoàn toàn liên quan đến mạng.Nhiều ứng dụng phụ thuộc vào các dịch vụ khác (cơ sở dữ liệu, API bên ngoài, microservices, xác thực, DNS) và bất kỳ sự chậm trễ nào trong các phụ thuộc đó đều dẫn đến thời gian phản hồi rất kém đối với người dùng cuối.

Số liệu thống kê “Phân bổ tải HTTP” trong Wireshark. Hoặc đơn giản là xem nhanh các cuộc hội thoại sẽ cho bạn thấy có bao nhiêu máy chủ khác nhau tham gia vào việc tải một trang hoặc một quy trình cụ thể. Nếu 16 máy chủ bên ngoài được tham khảo để hiển thị trang chủ của trang web, chỉ cần một máy chủ gặp sự cố sẽ khiến toàn bộ nhóm hoạt động sai chức năng.

Các thiết bị kết nối (thiết bị chuyển mạch, bộ định tuyến, tường lửa, bộ cân bằng tải) Chúng cũng có thể gây ra độ trễ nếu chúng có kích thước không phù hợp, bị bão hòa hoặc nếu chúng áp dụng hàng đợi ưu tiên lưu lượng truy cập (QoS) Quá mạnh tay. Trong ảnh chụp màn hình, điều này thể hiện ở việc mất thêm thời gian khi tín hiệu đi qua các thiết bị đó, không bị mất gói dữ liệu nhưng vẫn có độ trễ kéo dài.

Trong thế giới SSH, Wireshark cũng có thể là một trợ thủ đắc lực. Để ứng phó sự cố. Mặc dù phiên kết nối được mã hóa, bạn vẫn có thể xem số lần thử kết nối, thời lượng của mỗi luồng, kích thước gói tin, kiểu truy cập từ các địa chỉ IP bên ngoài, v.v. Điều này cho phép bạn phát hiện các cuộc tấn công đánh cắp thông tin đăng nhập, quét hàng loạt các cổng SSH đang mở hoặc hoạt động xâm nhập từ xa sau khi ai đó đã giành được quyền truy cập từ xa.

Lọc theo lưu lượng SSH nội bộ so với lưu lượng SSH bên ngoài Bằng cách phân tích các mẫu nguồn/đích và khối lượng, có thể xác định các máy bị xâm nhập bắt đầu quét các máy nội bộ khác, hoặc các hành vi bất thường như một máy chủ chưa bao giờ giao tiếp với máy khác mà đột nhiên tạo ra một luồng dữ liệu liên tục rất cao.

Các biện pháp tốt nhất, tính hợp pháp và những lưu ý khi sử dụng Wireshark

Việc thu thập gói dữ liệu tương đương với việc nhìn vào bên trong các cuộc giao tiếp. của người dùng. Mặc dù phần lớn thông tin được mã hóa, nhưng đây vẫn là vấn đề rất nhạy cảm về quyền riêng tư và tuân thủ pháp luật. Tại Tây Ban Nha, và nói chung là ở EU, việc phát tán hoặc lạm dụng thông tin thu được theo cách này có thể cấu thành tội phạm tiết lộ và đánh cắp bí mật.

Nguyên tắc vàng rất đơn giản: chỉ phân tích mạng lưới của chính bạn. hoặc những hoạt động mà bạn có sự cho phép rõ ràng và được ghi chép đầy đủ (ví dụ: một cuộc kiểm toán chính thức hoặc một dự án khắc phục sự cố). Tuyệt đối tránh việc theo dõi các mạng Wi-Fi mở của bên thứ ba, thu thập lưu lượng truy cập ở những nơi công cộng hoặc chơi trò "xem mình có thể bắt được gì ở đây", bởi vì rủi ro pháp lý là có thật, ngay cả khi bạn nghĩ rằng không ai đang theo dõi.

Về mặt kỹ thuật, việc phân đoạn mạng là điều nên làm. Điều này đảm bảo các gói tin bạn thu thập được không chứa nhiều dữ liệu hơn mức cần thiết. Càng ít gói tin không liên quan được thu thập, càng ít thông tin bị lộ ra, giúp việc phân tích dễ dàng hơn. Việc cấu hình các bộ lọc thu thập cụ thể (theo IP, cổng, VLAN) cũng giúp ngăn chặn việc thu thập lưu lượng truy cập mà bạn không nên chạm vào.

Điều quan trọng cần nhớ là các trò lừa đảo và phần mềm độc hại đã được lan truyền thông qua Wireshark.Giống như phần mềm giả mạo “Wireshark Antivirus” thực chất là một loại mã độc Trojan đòi tiền chuộc. Lời khuyên rất rõ ràng: chỉ tải Wireshark từ trang web chính thức hoặc các kho lưu trữ đáng tin cậy, và hãy cảnh giác với những “công cụ thần kỳ” sử dụng tên gọi của nó.

Cuối cùng, hãy luôn sử dụng các bộ lọc phù hợp. Để tránh xem quá nhiều dữ liệu không cần thiết. Sử dụng các bộ lọc quá rộng không chỉ làm phức tạp mọi thứ mà còn có thể khiến bạn tiếp xúc với thông tin mà bạn không được phép truy cập. Ít hơn là tốt hơn, đặc biệt là khi nói đến các gói phần mềm.

Các giải pháp thay thế và bổ sung cho Wireshark trong phân tích độ trễ

Mặc dù Wireshark đáp ứng được hầu hết các nhu cầu.Trong một số trường hợp, việc sử dụng các công cụ bổ sung hoặc thay thế sẽ hữu ích tùy thuộc vào loại phân tích bạn muốn thực hiện hoặc môi trường làm việc của bạn.

Cá mập mây Đây là một dịch vụ web cho phép bạn tải lên các tệp pcap và phân tích chúng từ trình duyệt của mình, chia sẻ chúng với các kỹ thuật viên khác và tận dụng một số tính năng tổ chức và chú thích. Nó rất tiện lợi khi bạn có các bản ghi được tạo ra bởi bộ định tuyến, tường lửa hoặc thiết bị và muốn xem lại chúng mà không cần cài đặt bất cứ thứ gì trên máy tính cục bộ.

SmartSniff Đây là một tiện ích nhẹ dành cho Windows, ghi lại các cuộc hội thoại giữa máy khách và máy chủ, hiển thị dữ liệu ở định dạng khá nhỏ gọn. Nó đơn giản hơn Wireshark và có thể hữu ích cho việc phân tích nhanh, mặc dù nó yêu cầu cài đặt một số thành phần nhất định để ghi lại và không cung cấp mức độ chi tiết như Wireshark.

Nmap và Tcpdump cũng là những công cụ hỗ trợ tuyệt vời.Nmap, mặc dù chủ yếu tập trung vào việc phát hiện các máy chủ và cổng mở, rất phù hợp để hiểu rõ các dịch vụ nào đang hoạt động trên mạng và các điểm yếu hoặc lỗ hổng tiềm ẩn có thể tồn tại ở đâu. Mặt khác, Tcpdump là phiên bản dòng lệnh tương đương với Wireshark: lý tưởng cho các máy chủ Unix/Linux, nhẹ và rất mạnh mẽ trong việc thu thập và lọc dữ liệu, mặc dù việc diễn giải sẽ dễ dàng hơn nếu bạn mở tệp pcap đó trong Wireshark.

Các lựa chọn khác bao gồm ColaSoft Capsa hoặc Omnipeek. Chúng cung cấp các giao diện hướng đến năng suất kinh doanh, phân tích tổng hợp và, trong trường hợp của Omnipeek, khả năng nâng cao hơn trong việc xử lý thu thập dữ liệu đa điểm và tương quan độ trễ giữa các cổng. Chúng cũng hữu ích cho... phân tích thiết bị mạngVề phần mình, EtherApe cung cấp một cái nhìn trực quan về lưu lượng truy cập, hiển thị các nút và liên kết với độ dày và màu sắc theo khối lượng, hữu ích để nhanh chóng xác định các điểm nghẽn.

Sử dụng “Wireshark” trên Android và iOS: nên làm gì và không nên làm gì

Bản thân Wireshark không chạy trực tiếp trên các thiết bị di động.Cả trên Android lẫn iOS đều không có tính năng này, nhưng có những ứng dụng cho phép bạn thu thập hoặc phân tích lưu lượng truy cập từ điện thoại, rất hữu ích cho các bài kiểm tra cụ thể trên mạng Wi-Fi hoặc chẩn đoán nhanh.

Trên Android, các ứng dụng như tPacketCapture hoặc Packet Capture Chúng sử dụng API VPN cục bộ để chặn lưu lượng truy cập mà không cần quyền truy cập root. Chúng tạo ra các tệp mà bạn có thể mở bằng Wireshark trên máy tính. Shark for Root yêu cầu quyền quản trị viên, nhưng bù lại, nó cung cấp khả năng thu thập dữ liệu toàn diện và linh hoạt hơn.

Trên iOS, các tính năng bị hạn chế hơn do thiết kế.Không có Wireshark tích hợp sẵn và quyền truy cập lưu lượng truy cập bị hạn chế hơn nhiều. Tuy nhiên, các công cụ như iNetTools, Network Analyzer và HTTPCatcher cho phép bạn quét mạng, ping, xem định tuyến, chặn và phân tích các kết nối HTTP/HTTPS trong phạm vi giới hạn của hệ thống.

Trong điều kiện cho phép, tốt hơn hết là nên tiến hành phân tích kỹ lưỡng. Trên máy tính để bàn hoặc máy tính xách tay có card mạng tốt và ăng-ten ổn định. Khả năng thu thập, hiệu suất và các tùy chọn lọc vượt trội hơn nhiều so với thiết bị di động, và bạn sẽ có thể xử lý các bản ghi lớn mà không làm quá tải thiết bị.

Với toàn bộ kho công cụ này—Wireshark, PingPlotter, tcpdump, Nmap và một số giải pháp thương mại— Bạn có một bộ công cụ toàn diện để phát hiện, đo lường và khắc phục độ trễ mạng cũng như các vấn đề về hiệu suất. Bằng cách hiểu cách thức hoạt động của TCP, nơi các gói tin bị mất và những gì các thiết bị chuyển mạch, bộ cân bằng tải và máy chủ của bạn thực sự đang làm—trong khi luôn tôn trọng tính hợp pháp và quyền riêng tư—bạn có thể vượt qua những lời phàn nàn chung chung như "mạng chậm" để đưa ra những chẩn đoán cụ thể, có lý lẽ rõ ràng với các biện pháp cụ thể để cải thiện trải nghiệm người dùng và hệ thống.