WireShark

Network Admin တစ်ယောက်ဖြစ်လာပြီဆိုရင် တစ်ချိန်မဟုတ်တစ်ချိန် ကြုံတွေ့ရမှာကတော့ Application Layer issue တွေပါပဲ။ အထူးသဖြင့် Network Operation ပိုင်းမှာ အလုပ်လုပ်သူအများစုပေါ့။ Implementation သမားတွေကြတော့ တပ်ဆင်ပြီးသွားရင် သူတို့အပိုင်းကပြီးပြီလေ။ နေ့စဉ်အသုံးပြုတဲ့ ကိစ္စတွေ၊ User/Customer တွေနေ့တိုင်းအသုံးပြုရာမှာ ကြုံတွေ့လာမဲ့ အခက်အခဲတွေ၊ အဆင်မပြေဖြစ်တာတွေကြတော့ Operation ဖက်ကသူတွေက ပိုပြီးဖြေရှင်းပေးရလေ့ရှိပါတယ်။ ဥပမာအားဖြင့် Application နှေးနေတာတို့၊ ဖိုင်ကူးနေရင်းပြတ်သွားတာတို့၊ (Intermittent) ရလိုက်မရလိုက်ဖြစ်နေတာတို့ စသဖြင့်ပေါ့။ ဒါမျိုးတွေဖြစ်လာပြီဆိုရင် Router/Switch တွေက Show command တွေသုံးရုံနဲ့ အဖြေရှာဖို့သိပ်မလွယ်တော့ဘူး။ တခြားအကူအညီတွေလိုလာပြီ။ Application/ Protocol Level အထိလိုက်ကြည့်ရတော့မှာ။ ဒီလိုနေရာမှာ Protocol Analyzer ဆိုတာကို အသုံးပြုမှသာ ဘယ်မှာဘာဖြစ်နေတယ်ဆိုတာကို TCP/UDP flows တွေကိုလိုက်ကြည့်ရင်းနဲ့ အဖြေထုတ်ရတော့မှာဖြစ်ပါတယ်။

အခုလိုကိစ္စတွေ အတွက်သိထားသင့်တဲ့ Tools တစ်ခုကတော့ WireShark ပါ။ အရင်က Etherreal အနေနဲ့ လူသိများခဲ့ပြီး နောက်ပိုင်းမှာ WireShark ဆိုပြီးပြောင်းသွားပါတယ်။ နာမည်ပြောင်းသွားသလို လုပ်ဆောင်မှုတွေလည်းပိုပြီးကောင်းလာပါတယ်။ ကျွန်တော့သူငယ်ချင်းတစ်ယောက်ပြောသလို ပြန်ပြောရရင် ငါးလေးတွေ ငါးကန်ထဲမှာကူးခတ်နေတာကို မြင်နေရသလို Data တွေ Wire အထဲမှာ ဘယ်လိုသွားနေသလဲဆိုတာကို မြင်နိင်ပါတယ်။ WireShark နဲ့တွဲပြီးပါလာတာကတော့ Winpcap ပါ၊ တွဲပါလာတယ်ဆိုတာထက် အဲဒါပါမှသုံးလို့ရတာဖြစ်ပါတယ်။ Hardware level အထိဆင်းသုံးဖို့လိုအပ်တဲ့ libraries Set တွေပါ။ အဲဒါကိုထုတ်တဲ့အဖွဲ့အစည်းက Cacetech ပါ။ ဒါပေမယ့် သူ့ကိုအခုနာမည်ကြီး တစ်ခုဖြစ်တဲ့ Riverbed ကဝယ်ထားပါတယ်။ Wireshark ကိုအခုအဓိက အထောက်အပံ့ပေးနေတာလဲ Riverbed ပါပဲ။ Riverbed product တွေရဲ့ အားသာချက်ဖြစ်တဲ့ Application level control တွေဟာ အရမ်းကောင်းပါတယ်။ Report တွေဆိုရင်လည်း ခုနကပြောသလိုငါးဘယ်နှစ်ကောင် ကန်ထဲမှာရှိလဲ ဘယ်အရောင်ကဘယ်နှစ်မျိုးဆိုတာမျိုးကို ပြောနိုင်လောက်တဲ့အထိ Application တွေကိုပြောပြနိင်ပါတယ်။ CACE ရဲ့နည်းပညာအထောက်အကူကြောင့်လို့ဆိုရင်လဲ မမှားပါဘူး။ ကျွန်တော့်အထင်သက်သက်ပါ။

Wireshark အတွက် OS platform အမျိုးမျိုးရှိပါတယ်။ ကိုယ်တိုင်အနေနဲ့တော့ Linux ပေါ်မှာ Ethereal အနေနဲ့သုံးခဲ့ဖူးပြီး၊ Wireshark အနေနဲ့ကတော့ Windows ပေါ်မှာပဲ သုံးဖြစ်ပါတယ်။ Application Install လုပ်ပြီးတာနဲ့ တန်းသုံးလို့ရပါပြီ။ Default အနေနဲ့ အသုံးပြုရတာတော့ အခက်အခဲသိပ်မရှိပဲ တခြား Filter တွေဘာတွေသုံးမှသာ သေချာလေ့လာဖို့လိုပါတယ်။ သူ့အနေနဲ့ ပြဿနာကိုဖြေရှင်းပေးတာမဟုတ်ပဲ Network အထဲမှာဘာတွေဖြစ်နေတယ်ဆိုပဲဖော်ပြပေးပါမှာပါ။ ကျန်တာက Network Admin ရဲ့အပိုင်းပါ။ Admin ရဲ့ Network Knowledge ရှိသလောက် အထောက်အကူဖြစ်ပါတယ်။ ငါးအလှမွေးဆိုင်က ရောင်းတဲ့သူတစ်ယောက်လိုပေါ့ ကန်ထဲမှာ ငါးပေါင်းစုံရှိနေတဲ့ အထဲက ဘယ်ငါးကဘာအမျိုးအစား ဘယ်လောက်တန် တန်းသိနေသလိုပေါ့။ မကျွမ်းကျင်တဲ့ သူအဖို့တော့ ငါးတွေမြင်နေရပေမယ့်လည်း ဆိုတေးဆိုတာဘာရောင်မှန်းမသိ၊ ရွှေငါးလား ပုလဲငါးလား မသိလိုဖြစ်နေမှာ။ ဒီတော့ TCP/UDP Flows တွေ တွေ့နေပေမယ့် TCP Hand shake လောက်ကို Trace မလိုက်နိုင်ရင် ဘာဖြစ်နေလဲဆိုတာ သိဖို့မလွယ်ပါဘူး။ Telnet application အလုပ်လုပ်တဲ့အခါ Client နဲ့ Server ဘယ်လိုစကားပြောလဲဆိုတာမျိုး၊ DHCP client တွေဘယ်လိုပုံစံမျိုးနဲ့ IP address တောင်းဆိုကြသလဲ စတာတွေကို Wireshark သုံးပြီးကြည့်လိုက်ရင် သီအိုရီတွေဖတ်တုန်းကနားမလည်တွေတောင် ပြန်ပြီးရှင်းသွားပါလိမ့်မယ်။

ဟုတ်ပီ။ ညွှန်းတာတွေတော့များနေပြီ ဘယ်လိုကြည့်ရမလဲလုပ်အုံးဆိုရင်တော့ ကိုယ့်ရဲ့ PC NIC ကို promiscuous mode ကိုရွေးလိုက်ပြီး Capture လို့လုပ်လိုက်တာနဲ့ စတွေ့ရမှာပါ။ ဒါပေမဲ့ ကိုယ့်ရဲ့ NIC ကမြင်ရတဲ့ Data တွေကိုသာမြင်ရမှာဖြစ်ပါတယ်။ Network အတွင်းကတခြားဟာတွေမြင်ချင်ရင်တော့ Switch မှာ ကိုယ်ကြည့်ချင်တဲ့ Source port ကိုရွေး၊ Mirror port/ SPAN port စတာတွေလုပ်ပြီးကိုယ့် NIC ကို Destination port မှထားသုံးလိုက်ရင်ရပါပြီ။ ဒီနေရာမှာ ဆက်စပ်ပြီးလေ့လာရမှာ၊ လေ့လာခဲ့ဖူးတာတွေကို ပေါင်းစပ်ပစ်ရတော့မှာ။ အရင်က SPAN အကြောင်းလေ့လာတုန်းက Source port Destination port ဆိုပြီးသိခဲ့တယ်။ အခုအဲ့ဒါကို အသုံးပြုတာက Wireshark လို Protocol Analyzer/ Packet sniffer တွေပါပဲ။ ဒါသုံးဖို့တော့ ဘာမှထွေထွေထူးထူးမလိုပါဘူး။ အခုပဲ Download လုပ် Install လုပ်ပြီး ကိုယ့် PC/Laptop က NIC မှာဘာတွေမြင်ရသလဲဆိုတာတာ ကြည့်လိုက်ကြပါစို့။ SPAN ဆိုတာဘာလဲသိချင်ရင်တော့ ကျွန်တော့အရင်ပို့စ် အဟောင်းတွေမှာ ပြန်ရှာဖတ်ကြည့်နိုင်ပါတယ်။ 



ကိုဖြိုး