Đang tải... (xem toàn văn)
Sử dụng phần mềm Wireshark để thực hiện mô tả, phân tích gói tin thông qua đó ta có thể làm rõ các vấn đề về: TCPIP, gói tin, địa chỉ nguồn, địa chỉ đích, thời gian luân chuyển giữa các gói tin. Wireshark là một ứng dụng dùng để bắt (capture), phân tích và xác định các vấn đề liên quan đến network như: rớt gói tin, kết nối chậm, hoặc các truy cập bất thường. Phần mềm này cho phép quản trị viên hiểu sâu hơn các Network Packets đang chạy trên hệ thống, qua đó dễ dàng xác định các nguyên nhân chính xác gây ra lỗi.
TRƯỜNG ĐẠI HỌC TÀI NGUYÊN VÀ MÔI TRƯỜNG HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN - ĐỀ BÀI: Áp dụng kỹ thuật an tồn bảo mật thơng tin mơi trường mạng, thực mơ tả, phân tích gói tin phần mềm Wireshark để làm rõ bước như: giao thức TCP/IP - UDP, gói tin, địa nguồn, địa đích, thời gian ln chuyển gói tin Họ Và Tên Sinh Viên: Nguyễn Văn Tùng Mã Sinh Viên: 1911060858 Lớp: ĐH9C5 Học phần: Giảng Viên Hướng Dẫn: Hà Nội, Năm 2022 LỜI CẢM ƠN PHẦN 1: GIỚI THIỆU Mục đích Sử dụng phần mềm Wireshark để thực mơ tả, phân tích gói tin thơng qua ta làm rõ vấn đề về: TCP/IP, gói tin, địa nguồn, địa đích, thời gian ln chuyển gói tin Mơi trường sử dụng: Hệ điều hành: Microsoft Windows 7, 8, 10 Các công cụ sử dụng: Wireshark Tổng quan Wireshark Wireshark ứng dụng dùng để bắt (capture), phân tích xác định vấn đề liên quan đến network như: rớt gói tin, kết nối chậm, truy cập bất thường Phần mềm cho phép quản trị viên hiểu sâu Network Packets chạy hệ thống, qua dễ dàng xác định nguyên nhân xác gây lỗi Thân thiện với người dùng: Giao diện Wireshark giao diện phần mềm phân tích gói dễ dùng Wireshark ứng dụng đồ hoạ với hệ thống menu rât rõ ràng bố trí dễ hiểu Đây phần mềm mã nguồn mở, cấp phép GPL, miễn phí sử dụng, tự chia sẻ sửa đổi Hỗ trợ: Cộng đồng Wireshark cộng đồng tốt động dự án mã nguồn mở Đa tảng: Wireshark hỗ trợ hầu hết loại hệ điều hành Một số tính nâng cao wireshark -Name Resolution Dữ liệu truyền mạng thông qua vài hệ thống địa chỉ, địa thường dài khó nhớ (Ví dụ: MAC) Phân giải điạch trình mà giao thức sử dụng để chuyển đổi địa loại thành địa loại khác đơn giản Chúng ta tiết kiệm thời gian cách sử dụng vài công cụ phân giải địa để file liệu ta bắt dễ đọc Ví dụ sử dụng phân giải tên DNS để giúp định danh tên máy tính mà ta có gắng xác định nguồn gói cụ thể -Các kiểu cơng cụ phân giải tên Wireshark: có loại MAC Name Resolution: phân giải địa MAC tầng sang địa IP tầng Nếu việc phân giải lỗi, Wireshark chuyển byte địa MAC sang tên hãng sản xuất IEEE đặc tả, ví dụ: Netgear_01:02:03 Network Name Resolution: chuyển đổi địa tầng sang tên DNS dễ đọc MarketingPC1 Transport Name Resolution: chuyển đổi cổng sang tên dịch vụ tương ứng với nó, ví dụ: cổng 80 http Protocol Dissection Một protocol dissector cho phép Wireshark phân chia giao thức thành số thành phần để phân tích ICMP protocol dissector cho phép Wireshark phân chia liệu bắt định dạng chúng gói tin ICMP Bạn nghĩ dissector phiên dịch dòng liệu đường truyền chương trình Wireshark Với mục đích để hỗ trợ giao thức đó, dessector cho giao thức phải tích hợp Wireshark Wireshark sử dụng đồng thời vài dissector để phiên dịch gói tin Nó định dissector sử dụng cách sử dụng phân tích lơgic cài đặt sẵn thực việc dự đốn Thật khơng may Wireshark lúc việc lựa chọn dissector phù hợp cho gói tin Tuy nhiên, ta thay đổi việc lựa chọn trường hợp cụ thể Following TCP Streams Một tính hữu ích Wireshark khả xem dòng TCP tầng ứng dụng Tính cho phép bạn phối hợp tất thơng tin liên quan đến gói tin cho bạn liệu mà gói tin hàm chứa giống người dùng cuối nhìn thấy ứng dụng Còn việc xem liệu truyền máy trạm máy chủ mớ hỗn độn, tính xếp liệu để xem cách đơn giản Bạn sử dụng cơng cụ để bắt giải mã phiên instant messages gửi người làm thuê (người bị ghi ngờ phát tán thơng tin tài cơng ty) Cửa sổ thống kê phân cấp giao thức Khi bắt file có kích thước lớn, cần biết phân bố giao thức file đó, phần trăm TCP, phần trăm IP DHCP phần trăm, Thay phải đếm gói tin để thu kết quả, sử dụng cửa sổ thống kê phân cấp giao thức Wireshark Đây cách tuyệt với để kiểm thử mạng bạn Ví dụ, bạn biết 10% lưu lượng mạng bạn sử dụng lưu lượng ARP, ngày đó, bạn thấy lưu lượng ARP lên tới 50%, bạn hồn tồn hiểu có khơng ổn xảy Xem Endpoints Một Endpoint chỗ mà kết nối kết thúc giao thức cụ thể Ví dụ, có hai endpoint kết nối TCP/IP: địa IP hệ thống gửi nhận liệu, 192.168.1.5 192.168.0.8 Một ví dụ tầng kết nối hai NIC vật lý địa MAC chúng Các NIC gửi nhận liệu, MAC tạo nên kết nối endpoint Hàng ngày, có hàng triệu vấn đề lỗi mạng máy tính, từ việc đơn giản nhiễm Spyware việc phức tạp lỗi cấu hình router, vấn đề xử lý tất Tốt hi vọng thực cơng việc cách chuẩn bị đầy đủ kiến thức công cụ tương ứng với vấn đề Tất vấn đề mạng xuất phát mức gói, nơi mà khơng có che dấu chúng ta, nơi mà khơng có thứ bị ẩn cấu trúc menu, hình ảnh bắt mắt nhân viên không đáng tin cậy Khơng có bí mật đây, điều khiển mạng giải vấn đề Đây giới phân tích gói tin Thế phân tích gói tin? Phân tích gói tin, thơng thường quy vào việc nghe gói tin phân tích giao thức, mơ tả q trình bắt phiên dịch liệu sống luồng lưu chuyển mạng với mục tiêu hiểu rõ điều diễn mạng Phân tích gói tin thường thực packet sniffer, công cụ sử dụng để bắt liệu thô lưu chuyển đường dây Phân tích gói tin giúp chung ta hiểu cấu tạo mạng, mạng, xác định sử dụng băng thông, thời điểm mà việc sử dụng mạng đạt cao điểm, khả công hành vi phá hoại, tìm ứng dụng khơng bảo mật Có vài kiểu chương trình nghe gói tin, bao gồm miễn phí sản phẩm thương mại Mỗi chương trình thiết kế với mục tiêu khác Một vài chương trình nghe gói tin phổ biến tcpdump (a command-line program), OmniPeek, Wireshark (cả hai chương trình có giao diện đồ hoạ) Khi lựa chọn chương trình nghe gói tin, ta cần phải quan tâm đến số vấn đề: giao thức mà chương trình cần hỗ trợ, tính dễ sử dụng, chi phí, hỗ trợ kỹ thuật chương trình hỗ trợ cho hệ điều hành PHẦN 2: SỬ DỤNG WIRESHARK ĐỂ PHÂN TÍCH GĨI TIN Phân tích q trình PING: Khởi động phần mềm Wireshark: Tìm chọn đến card mạng có luồng liệu chạy (Ở WIFI) Phân tích PING Để bắt đầu trình PING stop wireshark start lại Sau thực lệnh ping đến địa ip “Default Gateway”: 192.168.1.1 Lọc liệu “ icmp ”: Bằng từ khóa “ icmp” -Sau lọc liệu xong đọc số thông tin sau: No: số thứ tự tập tin tập file capture Time: Thời gian tương đối mà gói tin bắt, tính từ lúc bắt đầu q trình bắt gói tin Source: Địa ip nguồn kết nối Destination: Địa đích kết nối Protocal: giao thức kết nối gói tin Length: Chiều dài gói tin Info: Các thơng tin liên quan đến gói tin -Chúng ta xem thơng tin chi tiết loại gói tin double click vào gói tin mà muốn xem ta xem thêm không tin khác về: Frame Ethernet II Internet Protocal Version Internet Control Message Protocal Phân tích q trình kết nối HTTP: Kết nối tới trang web : http://dangky.hunre.edu.vn/ Phân tích kết nối DNS Lọc liệu tương ứng UDP/53 từ địa Ip máy tính 192.168.1.4 với từ “DNS” “ ip.addr == 192.162.1.75 && dns” khóa -Thơng tin chi tiết gói tin như: Frame Enthernet II Internet Protocal Version User Datagram Protocal Domain Name System Phân tích kết nối HTTP, tạo kết nối TCP đến máy chủ website http://dangky.hunre.edu.vn Lọc luồng liệu web từ khóa “http” Nhưng bước nhìn thấy luồng liệu web nên Chúng ta phải thay từ khóa “ip.addr == 192.168.1.4 && ip.addr == 118.70.128.93” để thấy gói bắt tay bước với file: [SYN], [SYN, ACK], [ACK] Địa ip 192.168.1.75: Là địa ip local Địa ip 118.70.128.93: Là địa ip đích đến Sau muốn xem thông tin resquest reponse cụ thể ta click chuột phải vào protocol có giá trị “HTTP” sau chọn phần “Follow” stream” “HTTP stream” chọn “TCP Phần chữ màu đỏ phần request từ máy windows gửi lên máy chủ Phần chữ màu xanh phần reponse trả cho từ server Tài liệu tham khảo [1] Sử dụng Wireshark để phân tích gói liệu hệ thống mạng Quantrimang - [2] Huong dan thi nghiem wireshark – slideshare [3]https://123docz.net//document/5083341-phan-tich-goi-tin- bang-wiresharkicmp-ip-tcp-udp-arp-enthernet.htm