Đang tải... (xem toàn văn)
PHÂN TÍCH GÓI TIN VỚI WIRESHARK
MUC LỤC I. Lệnh ping 2 1. Các bước thực hiện lệnh ping 3 3. Ví dụ 3 II. Telnet 5 1. Telnet là gì ? 5 2. Thiết lập và kiểm tra kết nối Telnet 6 III. Wireshark 13 1. Giới thiệu về Wireshark 13 2. Một số tình huống cơ bản về sự cố mạng và giải pháp khắc phục 14 a. A Lost TCP Connection (mất kết nối TCP) 14 c. Unreachable Port (không thể kết nối tới cổng) 18 d. Determining Whether a Packet Is Fragmented (xác định vị trí gói tin bị phân đoạn) 20 . No Connectivity (không kết nối) 20 . The Ghost in Internet Explorer (con ma trong trình duyệt IE) 23 e. Lỗi kết nối FTP 28 3. Xử lý các tình huống về băng thông mạng 30 4. Một số tình huống an ninh mạng cơ bản 42 OS Fingerprinting (Nhận dạng OS) 42 OS Fingerprinting là một kỹ thuật phổ biến được các haker sử dụng để thu thập các thông tin về server từ xa, từ đó có những thông tin hữu ích để thực hiện các bước tấn công tiếp theo 42 A Simple Port Scan (quét cổng ở dạng đơn giản) 43 Blaster Worm (Sâu Blaster) 45 IV. Kết luận 50 LỜI NÓI ĐẦU PHÂN TÍCH GÓI TIN VỚI WIRESHARK Gerald Combs là người đầu tiên phát triển phần mềm WIRESHARK. Phiên bản đầu tiên được gọi là Ethereal được phát hành năm 1998. Tám năm sau kể từ khi phiên bản đầu tiên ra đời, Combs từ bỏ công việc hiện tại để theo đuổi một cơ hội nghề nghiệp khác. Thật không may, tại thời điểm đó, ông không thể đạt được thoả thuận với công ty đã thuê ông về việc bản quyền của thương hiệu Ethereal. Thay vào đó, Combs và phần còn lại của đội phát triển đã xây dựng một thương hiệu mới cho sản phẩm “Ethereal” vào năm 2006, dự án tên là WireShark. - WireShark đã phát triển mạnh mẽ và đến nay, nhóm phát triển cho đến nay đã lên tới 500 cộng tác viên. Sản phẩm đã tồn tại dưới cái tên Ethereal không được phát triển thêm. - Lợi ích Wireshark đem lại đã giúp cho nó trở nên phổ biến như hiện nay. Nó có thể đáp ứng nhu cầu của cả các nhà phân tích chuyên nghiệp và nghiệp dư và nó đưa ra nhiều tính năng để thu hút mỗi đối tượng khác nhau. Wireshark có các ưu điểm Thân thiện với người dùng, Giá rẻ, ngoài ra Wireshark hỗ trợ hầu hết các loại hệ điều hành hiện nay. I. Lệnh ping Lệnh Ping sử dụng giao thức ICMP để kiểm tra kết nối vật lý và địa chỉ IP của lớp Mạng. Đây là lệnh kiểm tra cơ bản. Giáo Viên Hướng Dẫn: Nguyễn Duy Tân Sinh Viên Thực Hiện: Nguyễn Thị Hà 2 PHÂN TÍCH GÓI TIN VỚI WIRESHARK 1. Các bước thực hiện lệnh ping Cấu trúc: PING: ip/host[/t][/a][/l][/n] + IP: địa chỉ của máy cần kiểm tra ( có thể sử dụng đ/c IP hoặc tên của máy tính ) + Tham số [/t]: để máy tính liên tục ping + Tham số [/a]: nhận điạ chỉ IP trên host + Tham số [/n]: Xác định số gói tin gửi đi Cách thức: - Nhập lệnh Ping, theo sau là địa chỉ IP hoặc tên của máy đích. - Nhấn phím Enter. 2. Sử dụng lệnh ping để kiểm tra xem địa chỉ đích có đến được không Giao thức ICMP có thể được sử dụng để kiểm xem có đến được một địa chỉ nào đó hay không .ICMP sẽ gửi thông điệp echo request đến máy đích .Nếu máy đích nhận được echo request thì sẽ trả lời lại thông điệp echo reply cho máy nguồn .Nếu máy nguồn nhận được echo reply thì điều đó khặng định là máy đích có thể đến được bằng giao thức IP. Lệnh ping khởi tạo các thông điệp echo request . - Nếu số lượng gói tin gửi đi là 6, nhận được trả lời 2 gói tin thì chứng tỏ đường truyền rất chậm. - Cũng có thể xác định máy đó có kết nối hay không, nếu không kết nối kết quả là unknow host. 3. Ví dụ Ví dụ như hình 8.1.5a và 8.1.5b , chúng ta sử dụng lệnh ping với địa chỉ IP đích. Lệnh ping gửi đi 4 gói echo request và nhận về 4 gói echo reply xác nhận kết nối IP giữa 2 thiết bị hoạt động tốt. Giáo Viên Hướng Dẫn: Nguyễn Duy Tân Sinh Viên Thực Hiện: Nguyễn Thị Hà 3 PHÂN TÍCH GÓI TIN VỚI WIRESHARK Hình 8.1.5a Giáo Viên Hướng Dẫn: Nguyễn Duy Tân Sinh Viên Thực Hiện: Nguyễn Thị Hà 4 PHÂN TÍCH GÓI TIN VỚI WIRESHARK II. Telnet 1. Telnet là gì ? Telnet là giao thức giả lập đầu cuối ảo nằm trong bộ giao thức TCP/IP. Nó cho phép thiết lập kết nối từ xa vào thiết bị. Lệnh Telnet được sử dụng để kiểm tra hoạt động phần mềm ở lớp ứng dụng giữa 2 máy. Telnet hoạt động ở lớp ứng dụng của mô hình OSI. Telnet hoạt động dựa trên cơ chế TCP để đảm bảo việc truyền dữ liệu giữa client và các server. Một router có thể cho phép thực hiện đồng thời nhiều phiên kết nối Telnet. Đường vty 0-4 trên router là đường dành cho Telnet. 5 đường Telnet này có thể thực hiện cùng lúc. Chúng ta cần lưu ý rằng việc sử dụng Telnet để kiểm tra kết nối lớp ứng dụng chỉ là việc phụ. Telnet được sử dụng chủ yếu để thiết lập kết nối từ xa vào thiết bị. Telnet là một chương trình ứng dụng đơn giản và thông dụng nhất. Hình 4.21. Giáo Viên Hướng Dẫn: Nguyễn Duy Tân Sinh Viên Thực Hiện: Nguyễn Thị Hà 5 PHÂN TÍCH GÓI TIN VỚI WIRESHARK 2. Thiết lập và kiểm tra kết nối Telnet Lệnh Telnet cho phép người dùng thực hiện từ một thiết bị Cisco này sang thiết bị khác. Chúng ta không cần phải nhập lệnh connect hay telnet để thiết lập kết nối Telnet mà chúng ta có thể nhập tên hoặc địa chỉ IP của rounter mà chúng ta muốn Telnet vào. Khi kết thúc phiên Telnet, bạn dùng lệnh exit hoặc logout. Để thiết lập Telnet bạn dùng một trong các lệnh sau: Denver>connect paris Denver>paris Denver>131.108.100.152 Denver>telnet paris • Telnet: kiểm tra kết nối phần mềm lớp Ứng dụng giữa nguồn và máy đích. Dưới đây là cách thu thập một số thông tin về máy chủ qua telnet. Chúng ta có thể check mail, gởi mail và đặc biệt là có thể tham gia vào các kênh chat IRC của nước ngoài. Tất cả chỉ bằng Telnet! Giáo Viên Hướng Dẫn: Nguyễn Duy Tân Sinh Viên Thực Hiện: Nguyễn Thị Hà 6 PHÂN TÍCH GÓI TIN VỚI WIRESHARK 3. Một số lệnh cơ bản của Telnet - CLOSE: Đóng kết nối hiện tại - DISPLAY: Hiển thị các tham số điều khiển - MODE: Thay đổi mode kí tự - OPEN : Kết nối đến một site - QUIT: Thoát telnet - SEND: Gởi các kí tự đặc biệt - SET: Đặt các tham số điều khiển - UNSET: Gỡ bỏ các tham số điều khiển đã đặt - STATUS: Cho biết các thông tin về trạng thái hiện tại - TOGGLE: Chốt các tham số điều khiển - SLC: Thay đổi trạng thái của các kí tự đặc biệt - !: Tạo một subtelnet(telnet con) - ENVIRON: Thay đổi các biến trạng thái - ?: Gọi hướng dẫn sử dụng telnet (Để biết thêm thông tin về telnet, bạn hãy gõ "man telnet" trong Linux*) Ví dụ: cách phát hiện WEB SERVER bằng telnet http://www.tnh.com.vn/ đang dùng web server gì nhỉ? Bạn hãy mở "MS- DOS Prompt" và gõ vào: C:\> telnet www.tnh.com.vn 80 Chúng ta telnet đến http://www.tnh.com.vn/ ở cổng 80! Tiếp theo bạn gõ vào "GET / HTTP/1.1"(không có dấu nháy ") và nhấn phím <Enter> hai lần, bạn sẽ nhận được những thông tin sau: HTTP/1.1 400 Bad Request Server: Microsoft-IIS/4.0 Date: Wed, 04 Jul 2001 06:52:31 GMT Content-Type: text/html Giáo Viên Hướng Dẫn: Nguyễn Duy Tân Sinh Viên Thực Hiện: Nguyễn Thị Hà 7 PHÂN TÍCH GÓI TIN VỚI WIRESHARK Content-Length: 87 <html><head><title>Error</title></head><body>The parameter is incorrect. </body> </html> Connection to host lost. Hãy xem chúng ta thu thập được những gì? dòng 1: phiên bản của http service: HTTP/1.1 (có khi là PHP/4.0). Đây là mã trạng thái HTML dòng 2: http server, Microsoft-IIS/4.0 dòng 3: ngày giờ +GTM dòng 4: phân loại nội dung dòng 5: chiều dài của các kí tự Chỉ cần để ý đến dòng 2, bạn có thể biết chắc ăn 100% là http://www.tnh.com.vn/ đang chạy IIS v4.0! (Lưu ý: bạn hãy bật chế độ ghi nhật kí cho Telnet, mắt bạn không tài nào nhìn thấy được các dòng trên đâu! Nó hiện ra quá nhanh ! Hãy vào Terminal/Start Logging và chỉ định một file nhật kí cho Telnet !) Bây giờ bạn thử telnet đến http://www.astalavista.box.sk/ xem sao?! C:\> telnet www.astalavista.box.sk 80 GET / HTTP/1.1 HTTP/1.1 400 Bad Request Date: Wed, 04 Jul 2001 06:51:37 GMT Server: Apache/1.3.19 (Unix) PHP/4.0.4pl1 Connection: close Giáo Viên Hướng Dẫn: Nguyễn Duy Tân Sinh Viên Thực Hiện: Nguyễn Thị Hà 8 PHÂN TÍCH GÓI TIN VỚI WIRESHARK Transfer-Encoding: chunked Content-Type: text/html; charset=iso-8859-1 Bạn có thể thấy ngay là http://www.astalavista.box.sk/ đang chạy Apache v1.3.19 trên nền Unix cùng với PHP v4.0.4! Download và upload file bằng Telnet Nếu bạn biết chính xác địa chỉ của một file trên http server, bạn có thể download nó về bằng cách telnet đến http server đó (ở cổng 80) và gõ vào theo dạng sau "HEAD <đường dẫn đến file cần download> HTTP/1.1" thay cho "GET / HTTP/1.1". Ví dụ như "HEAD /wordlist.txt HTTP/1.1" Nếu http server cho phép bạn upload file(thường thì không có chuyện này đâu!), bạn hãy dùng lệnh "PUT" để upload file lên. Ví dụ như "PUT /contact.htm HTTP/1.1" Gởi thư bằng Telnet(dùng SMTP) SMTP - Simple Mail Transfer Protocol là một daemon thường dùng để send mail. Cổng mặc định của nó là 25. Okay, bây giờ bạn hãy mở telnet đi! C:\> telnet mail.newmail.net 25 connected 220 digital Microsoft ESMTP MAIL Service, Version: 5.0.2195.1600 ready at Wed, 4 Jul 2001 18:47:27 +1000 dòng 1: mã số trạng thái 220: digital(domain hoặc địa chỉ ip của server): esmtp(extended) version 5.0.2195.1600 dòng 2: thời gian +GMT Bây giờ thì bạn cần phải biết một số lệnh của smtp. Hãy gõ vào lệnh '?(hoặc '/?') và 'help' để gọi hướng dẫn! Tiếp theo, hãy send mail ! các lệnh Giáo Viên Hướng Dẫn: Nguyễn Duy Tân Sinh Viên Thực Hiện: Nguyễn Thị Hà 9 PHÂN TÍCH GÓI TIN VỚI WIRESHARK HELO server.com (x authentication) MAIL WROM: GPKYLEJGDGVCJVTLBXFGGMEPYOQKEDOTWFAOBUZXUWLSZLKB RNVWWCUFPEG RCPT TO: victim@victimserver.net (địa chỉ email của người nhận) DATA (các dữ liệu trong thư) SUBJECT email subject (dòng subject) một message cơ bản, cũng có khi là giả mạo . (kết thúc message bằng một dòng chỉ có một dấu chấm '.') Nhận thư qua Telnet(dùng POP3) POP3 - Post Office Protocol Version 3. POP3 daemon thường được chạy ở cổng 110(đây là cổn chuẩn của nó). Để check mail, bạn phải kết nối đến server đang chạy POP3 daemon ở cổng 110! C:\> telnet mail.newmail.net 110 connected +OK DPOP Version number supressed. <1206.994279150@newmail.net> Bây giờ thì bạn có thể vào check mail được rồi đó! Hãy xem qua các lệnh sau: các lệnh Giáo Viên Hướng Dẫn: Nguyễn Duy Tân Sinh Viên Thực Hiện: Nguyễn Thị Hà 10 [...]... thông thường Ta sẽ gửi gói tin ICMP đến cổng 21 của máy đích, nếu máy đích trả lời lại gói ICMP loại o và mã lỗi 2 thì có nghĩa là không thể kết nối tới cổng đó.s Giáo Viên Hướng Dẫn: Nguyễn Duy Tân Sinh Viên Thực Hiện: Nguyễn Thị Hà 18 PHÂN TÍCH GÓI TIN VỚI WIRESHARK Fragmented Packets Giáo Viên Hướng Dẫn: Nguyễn Duy Tân Sinh Viên Thực Hiện: Nguyễn Thị Hà 19 PHÂN TÍCH GÓI TIN VỚI WIRESHARK Hình 3.1-7:... sẽ được thêm vào Và có thể nói rằng không có giao thức nào mà Wireshark không thể hỗ trợ Giáo Viên Hướng Dẫn: Nguyễn Duy Tân Sinh Viên Thực Hiện: Nguyễn Thị Hà 13 PHÂN TÍCH GÓI TIN VỚI WIRESHARK • Thân thiện với người dùng: Giao diện của Wireshark là một trong những giao diện phần mềm phân tích gói dễ dùng nhất Wireshark là ứng dụng đồ hoạ với hệ thống menu rât rõ ràng và được bố trí dễ hiểu Không như... Tân Sinh Viên Thực Hiện: Nguyễn Thị Hà 21 PHÂN TÍCH GÓI TIN VỚI WIRESHARK NetBIOS là giao thức cũ nó sẽ được thay thế TCP/IP khi TCP/IP không hoạt động Như vậy là máy của Thanh không thể kết nối Internet với TCP/IP Chi tiết yêu cầu ARP trên 2 máy : Máy Hải Máy Thanh Giáo Viên Hướng Dẫn: Nguyễn Duy Tân Sinh Viên Thực Hiện: Nguyễn Thị Hà 22 PHÂN TÍCH GÓI TIN VỚI WIRESHARK Kết luận : máy Thanh đặt sai địa... Nguyễn Thị Hà 26 PHÂN TÍCH GÓI TIN VỚI WIRESHARK Giao diện Process Explore Giáo Viên Hướng Dẫn: Nguyễn Duy Tân Sinh Viên Thực Hiện: Nguyễn Thị Hà 27 PHÂN TÍCH GÓI TIN VỚI WIRESHARK e Lỗi kết nối FTP Tình huống : có tài khoản FTP trên Windows Server 2003 đã update service packs vừa cài đặt xong, phần mềm FTP Server hoàn toàn bình thường, khoản đúng nhưng không truy nhập được Thông tin chúng ta có •... có • FTP làm việc trên cổng 21 Tiến hành Cài đặt Wireshark trên cả 2 máy Phân tích Client: Giáo Viên Hướng Dẫn: Nguyễn Duy Tân Sinh Viên Thực Hiện: Nguyễn Thị Hà 28 PHÂN TÍCH GÓI TIN VỚI WIRESHARK Hình 3.1-19: The client tries to establish connection with SYN packets but gets no response; then it sends a few more Client gửi các gói tin SYN để bắt tay với server nhưng không có phản hồi từ server Server... Viên Thực Hiện: Nguyễn Thị Hà 31 PHÂN TÍCH GÓI TIN VỚI WIRESHARK Hình 3.2-2: The Expert Infos window shows us chats, warnings, errors, and notes Mặc định Expert Infos hiển thị tất cả các thông tin Nếu chỉ hiện thị Error+Warn+Note thì ta sẽ có các thông tin sau Giáo Viên Hướng Dẫn: Nguyễn Duy Tân Sinh Viên Thực Hiện: Nguyễn Thị Hà 32 PHÂN TÍCH GÓI TIN VỚI WIRESHARK Hình 3.2-3: The Expert Infos window... Previous segment lost packets và các gói tin TCP gửi đi bị lặp ACK và bị drop, khiến TCP phải gửi lại gói tin • Có thể 2 nguyên nhân trên chiếm băng thông của mạng và làm giảm tốc độ download Giáo Viên Hướng Dẫn: Nguyễn Duy Tân Sinh Viên Thực Hiện: Nguyễn Thị Hà 33 PHÂN TÍCH GÓI TIN VỚI WIRESHARK Khảo sát tiếp các thông tin theo hướng này ta nhận được các thông tin ở các hình phía dưới Hình 3.2-4:... Nguyễn Duy Tân Sinh Viên Thực Hiện: Nguyễn Thị Hà 34 PHÂN TÍCH GÓI TIN VỚI WIRESHARK Hình 3.2-5: A fast retransmission is seen after a packet is dropped Statistics >TCP Stream Graph > Round Trip Time Graph Hình 3.2-6: The round trip time graph for this capture Giáo Viên Hướng Dẫn: Nguyễn Duy Tân Sinh Viên Thực Hiện: Nguyễn Thị Hà 35 PHÂN TÍCH GÓI TIN VỚI WIRESHARK Các hình cho thấy dự đoán ở bước trên là... Hiện: Nguyễn Thị Hà 14 PHÂN TÍCH GÓI TIN VỚI WIRESHARK Bắt đầu bằng việc gửi 4 gói TCP ACK từ 10.3.71.7 đến 10.3.30.1 Hình 3.1-1: This capture begins simply enough with a few ACK packets Lỗi bắt đầu từ gói thứ 5, chúng ta nhìn thấy xuất hiện việc gửi lại gói của TCP Hình 3.1-2: These TCP retransmissions are a sign of a weak or dropped connection Theo thiết kế, TCP sẽ gửi một gói tin đến đích, nếu không... được Internet và sửa lỗi đó Các thông tin chúng ta có • cả 2 máy tính đều mới • cả 2 máy đều được đặt IP và có thể ping đến các máy khác trong mạng Nói tóm lại là 2 máy này được cấu hình không có gì khác nhau Tiến hành Cài đặt Wireshark trực tiếp lên cả 2 máy Giáo Viên Hướng Dẫn: Nguyễn Duy Tân Sinh Viên Thực Hiện: Nguyễn Thị Hà 20 PHÂN TÍCH GÓI TIN VỚI WIRESHARK Phân tích Trước hết trên máy của Hải ta . Hiện: Nguyễn Thị Hà 12 PHÂN TÍCH GÓI TIN VỚI WIRESHARK logging 520 route routing information protocol III. Wireshark 1. Giới thi u về Wireshark - WireShark có một bề dầy lịch sử. Gerald Combs là. Hà 13 PHÂN TÍCH GÓI TIN VỚI WIRESHARK • Thân thi n với người dùng: Giao diện của Wireshark là một trong những giao diện phần mềm phân tích gói dễ dùng nhất. Wireshark là ứng dụng đồ hoạ với hệ. VỚI WIRESHARK 2. Thi t lập và kiểm tra kết nối Telnet Lệnh Telnet cho phép người dùng thực hiện từ một thi t bị Cisco này sang thi t bị khác. Chúng ta không cần phải nhập lệnh connect hay telnet