Sniffer Distributed s6040 là thiết bị sniffer của Network Associates. Đây là một thiết bị phần cứng chuyên dụng, cài đặt trên hệ điều hành WindowsXP, có chức năng bắt các gói tin trong hệ thống mạng theo nhiều chế độ, quản lý, kiểm soát luồng thông tin vào ra hệ thống
S6040 có cấu tạo như sau:
Một cổng fastethernet, có chức năng quản lý, dùng để kết nối với một client làm nhiệm vụ giám sát. S6040 sẽ truyền các báo cáo mà nó thu thập được về máy client qua cổng này
Ngoài ra, s6040 còn có một số module để cắm các cổng có chức năng thu thập dữ liệu trong hệ thống mạng, mỗi một module có 2 cổng, gọi là cổng A và cổng B, 2 cổng này tạo nên các chế độ hoạt động khác nhau của s6040
2. Các chế độ hoạt động của s6040
2.1 Pass Through
2 cổng A, B đều hoạt động trong chế độ này, s6040 sẽ hoàn toàn trong suốt với hệ thống mạng. Ta cho dữ liệu đi trên 1 đường truyền qua s6040, và với hiệu năng cao, không có cảm giác là dữ liệu đi qua một thiết bị mạng
Để cấu hình:
Vào Remoteadmin: 192.168.2.14, mật: bknacisco
User/pass: Administrator/sniffer
Chạy Proviewer: --Config—GigabitSetup--Passthrough
2.1 Single Port End Station
Chỉ một cổng A hoạt động, ta sẽ cắm A vào cổng minor/monitor của Switch, với mục đích là switch sẽ hất các thông tin cần nghe về cổng minor/monitor để s6040 xử lý
2.2 Dual Port End Station
Cả 2 cổng A và B đều hoạt động, và có thể nghe thông tin từ 2 nơi.
3. Hệ thống phần mềm của s6040
Ta có thể quản lý s6040 bằng ba cách:
ProbViewer
SniffView
Webconsole
ProViewer, được cài trên s6040, dùng để điều khiển hoạt động, chế độ, cho s6040
SniffView và Webconsole là hai cách khác nhau để giám sát, quản lý, bắt thông tin của s6040 từ một client
4. Monitor, Capture, Display sử dụng sniffView
Các chức năng quản lý s6040, nên đọc trong tài liệu của NAI để biết thêm chi tiết
Tài liệu cơ bản bao gồm 3 quyển:
Installation Guide: Hướng dẫn cài đặt phần cứng
Configuration Guide: Hướng dẫn cài đặt phần mềm
Operation Guide: Hướng dẫn sử dụng
Sniffer View có menu sau:
Trong đó 3 chức năng quan trọng nhất là Monitor, Capture, và Display
4.1 Monitor
Chức năng Monitor của sniffer View cho phép tạo quan sát được một số các hoạt động sau:
Các Host trong mạng:
Tất cả các host
Top 10 host có lưu lượng trao đổi lớn nhất
Việc quan sát có thể theo nhiều dạng:
Biểu đồ hình tròn
Biểu đồ hình cột
Giao thức mạng: HTTP, DNS, HTTPS....
4.2 Capture
NAI cho phép bắt các gói tin trao đổi của một máy nào đó, hoặc tất cả các máy trong hệ thống mạng
4.3 Display
Sau khi Capture, NAI cho phép chúng ta hiện nội dung các gói tin bắt được, và người quản trị có thể phân tích được người dùng đang trao đổi gì qua mạng
