MỤC LỤC NGÀNH HỌC: AN TỒN THƠNG TIN HỌC PHẦN: CÁC GIAO THỨC CỦA MẠNG INTERNET CƠ SỞ LÝ THUYẾT 1.1 Mơ hình OSI 1.1.1 Khái niệm 1.1.2 Kiến trúc tầng mơ hình OSI: 1.1.3 Chức tầng 1.1.4 Quá trình xử lý vận chuyển gói liệu mơ hình OSI 1.2 Mơ hình TCP/IP 10 1.3 Các cơng cụ chặn bắt gói tin: 10 1.3.1 Wireshark 10 1.3.2 TCP Dump 12 CÁC BÀI THỰC HÀNH/THÍ NGHIỆM 16 2.1 Bài thực hành số 16 2.1.1 Mục đích yêu cầu 17 2.1.2 Nội dung 17 2.1.3 Ghi nhận phân tích kết 26 2.2 Bài thực hành số 2: 26 2.2.1 Mục đích yêu cầu: 27 2.2.2 Nội dung: 27 2.2.3 Ghi nhận phân tích kết 35 NGÀNH HỌC: AN TOÀN THÔNG TIN HỌC PHẦN: CÁC GIAO THỨC CỦA MẠNG INTERNET BÀI THỰC HÀNH TÌM HIỂU CÁC CƠNG CỤ CHẶN BẮT GÓI TIN QUA MẠNG 1.1 CƠ SỞ LÝ THUYẾT Mơ hình OSI 1.1.1 Khái niệm Mơ hình OSI (Open Systems Interconnection Reference Model, viết tắt OSI Model OSI Reference Model) - tạm dịch Mơ hình tham chiếu kết nối hệ thống mở - thiết kế dựa vào nguyên lý tầng cấp, lý giải cách trừu tượng kỹ thuật kết nối truyền thông máy vi tính thiết kế giao thức mạng chúng Mơ hình phát triển thành phần kế hoạch Kết nối hệ thống mở (Open Systems Interconnection) ISO IUT-T khởi xướng Mơ hình nghiên cứu phát triển từ năm 1977 hồn thiện vào năm 1984 Mục đích mơ hình OSI mở rộng thơng tin nhiều hệ thống khác mà khơng đòi hỏi phải có thay đổi phần cứng hay phần mềm hệ thống hữu Mơ hình OSI khơng phải giao thức (protocol) mà mơ hình giúp hiểu biết thiết kế kiến trúc mạng cách mềm dẻo, bền vững dễ diễn đạt Mơ hình OSI khung sườn phân lớp để thiết kế mạng cho phép thông tin tất thống máy tính khác Mơ hình gồm bảy lớp riêng biệt có quan hệ với nhau, lớp nhằm định nghĩa phân đoạn trình di chuyển thơng tin qua mạng Hình 1: Mơ hình OSI Các ưu điểm mơ hình OSI:  Giảm độ phức tạp truyền liệu: Theo ta biết, việc truyền liệu qua lại hệ thống máy tính phức tạp có nhiều công việc nhỏ lẻ như: liệu truyền cáp gì, đóng khung liệu, cách hệ thống truy nhập vào đường truyền, chế truyền dẫn, xây dựng chương trình truy nhập liệu… Mơ hình OSI phân cơng việc có tính chất tương tự thành nhóm gọi lớp cơng việc, chun biệt hố lớp cơng việc, giúp cho công ty sản xuất thiết bị truyền liệu tập trung sản xuất thiết bị, phần mềm phục vụ cho nhóm Nhờ giảm phức tạp truyền liệu  Chuẩn hóa giao diện lớp: Khi xây dựng lớp, tổ chức ISO quy định tiêu chuẩn chung lớp nhà sản xuất thiết bị phục vụ truyền liệu theo sản xuất thiết bị, dẫn tới giao diện lớp chuẩn hố  Chun mơn hóa cơng nghệ: Do phân lớp lên công ty tập trung vào mạnh mình, đầu tư tập trung công nghệ, dẫn tới công nghệ chun mơn hố cao  Tạo tương thích nhà sản xuất khác Nhờ có chuẩn hoá giao diện nên tạo tương thích thiết bị nhà sản xuất khác  Dễ dàng việc dạy học: Do phân lớp nên tập trung học theo cấu trúc tính chất lớp, dễ dàng cho việc học tập 1.1.2 Kiến trúc tầng mơ hình OSI: Mơ hình tham chiếu OSI chia thành bảy lớp với chức sau: - Application (ứng dụng): giao diện ứng dụng mạng (Tầng 7) - Presentation (trình bày): thoả thuận khn dạng trao đổi liệu (Tầng 6) - Session (phiên): cho phép người dùng thiết lập kết nối (Tầng 5) - Transport (vận chuyển): đảm bảo truyền thông hai hệ thống (Tầng 4) - NetWork (mạng): định hướng liệu truyền liên mạng.(Tầng 3) - Data Link (liên kết liệu): xác định việc truy xuất đến thiết bị (Tầng 2) - Physical (vật lý): chuyển đổi liệu thành bit truyền (Tầng 1) Hình 2: chức lớp mơ hình OSI Hình 3: Ba lớp phần ứng dụng lớp phần liệu 1.1.3 Chức tầng  Tầng ứng dụng (Application layer – lớp 7): tầng ứng dụng quy định giao diện người sử dụng môi trường OSI, cung cấp phương tiện cho người sử dụng truy cập sử dụng dịch vụ mơ hình OSI Các ứng dụng cung cấp chương trình xử lý kí tự, bảng biểu, thư tín … lớp đưa giao thức HTTP, FTP, SMTP, POP3, Telnet  Tầng trình bày (Presentation layer – lớp 6): chuyển đổi thông tin từ cú pháp người sử dụng sang cú pháp để truyền liệu, ngồi nén liệu truyền mã hóa chúng trước truyền để bảo mật Tầng định dạng liệu từ lớp đưa xuống gửi đảm bảo cho bên thu đọc liệu bên phát Các chuẩn định dạng liệu lớp GIF, JPEG, PICT, MP3, MPEG …  Tầng giao dịch (Session layer – lớp 5): thực thiết lập, trì kết thúc phiên làm việc hai hệ thống Tầng giao dịch quy định giao diện ứng dụng cho tầng vận chuyển sử dụng Nó xác lập ánh xạ tên đặt địa chỉ, tạo tiếp xúc ban đầu máy tính khác sở giao dịch truyền thơng Nó đặt tên qn cho thành phần muốn đối thoại riêng với Các giao thức lớp sử dụng NFS, X- Window System, ASP  Tầng vận chuyển (Transport layer – lớp 4): tầng vận chuyển xác định địa mạng, cách thức chuyển giao gói tin sở trực tiếp hai đầu mút, đảm bảo truyền liệu tin cậy hai đầu cuối (end-to-end) Các giao thức phổ biến TCP, UDP, SPX  Tầng mạng (Network layer – lớp 3): tầng mạng có nhiệm vụ xác định việc chuyển hướng, vạch đường gói tin mạng (chức định tuyến), gói tin phải qua nhiều chặng trước đến đích cuối Lớp lớp có liên quan đến địa logic mạng Các giao thức hay sử dụng IP, RIP, IPX, OSPF, AppleTalk  Tầng liên kết liệu (Data link layer – lớp 2): tầng liên kết liệu có nhiệm vụ xác định chế truy nhập thơng tin mạng, dạng thức chung gói tin, đóng gói phân phát gói tin Lớp có liên quan đến địa vật lý thiết bị mạng, topo mạng, truy nhập mạng, chế sửa lỗi điều khiển luồng  Tầng vật lý (Phisical layer – lớp 1): tầng vật lý cung cấp phương thức truy cập vào đường truyền vật lý để truyền dòng Bit khơng cấu trúc, ngồi cung cấp chuẩn điện, dây cáp, đầu nối, kỹ thuật nối mạch điện, điện áp, tốc độ cáp truyền dẫn, giao diện nối kết mức nối kết 1.1.4 Quá trình xử lý vận chuyển gói liệu mơ hình OSI Việc đóng gói liệu khơng thiết xảy lần truyền liệu trình ứng dụng Các lớp 5, 6, sử dụng header trình khởi động phần lớn lần truyền khơng có header lớp 5, 6, lý khơng có thơng tin để trao đổi Hình 1: Quá trình xử lý vận chuyển gói liệu mơ hình OSI Các liệu máy gửi xử lý theo trình tự sau: - Người dùng thông qua lớp Application để đưa thơng tin vào máy tính Các thơng tin có nhiều dạng khác như: hình ảnh, âm thanh, văn bản, … - Tiếp theo thông tin chuyển xuống lớp Presentation để chuyển thành dạng chung, mã hóa nén liệu - Tiếp liệu chuyển xuống lớp Session để bổ sung thông tin phiên giao dịch - Dữ liệu tiếp tục chuyển xuống lớp Transport, lớp liệu cắt thành nhiều segment bổ sung thêm thông tin phương thức vận chuyển liệu để đảm bảo độ tin cậy truyền - Dữ liệu tiếp tục chuyển xuống lớp Network, lớp segment cắt thành nhiều packet bổ sung thêm thông tin định tuyến - Tiếp liệu chuyển xuống lớp Data link, lớp packet cắt thành nhiều frame bổ sung thêm thơng tin kiểm tra gói tin (để kiểm tra nơi nhận) - Cuối cùng, frame tầng Vật lý chuyển thành chuỗi bit đẩy lên phương tiện truyền dẫn để truyền đến thiết bị khác Quá trình truyền liệu từ máy gửi đến máy nhận: Bước 1: trình ứng dụng (trên máy gửi) tạo liệu chương trình phần cứng, phần mềm cài đặt lớp bổ sung vào header trailer (quá trình đóng gói liệu máy gửi) Bước 2: Lớp Physical (trên máy gửi) nhận liệu Bước 3: Các chương trình phần cứng, phần mềm (trên máy nhận) gỡ bỏ header trailer xử lý phần liệu (quá trình xử lý liệu máy nhận) Giữa bước bước trình tìm đường gói tin Thơng thường, máy gửi biết địa IP máy nhận Vì sau xác định địa IP máy nhận lớp Network máy gửi so sánh địa IP máy nhận địa IP nó: - Nếu địa mạng máy gửi tìm đường bảng MAC Table để có địa MAC máy nhận Trong trường hợp khơng có địa MAC tương ứng, thực giao thức ARP để truy tìm địa MAC Sau tìm địa MAC, lưu địa MAC vào bảng MAC Table để lớp Data link sử dụng lần gửi sau Sau có địa MAC máy gửi gửi gói tin (giao thức ARP nói thêm sau) - Nếu khác địa mạng máy gửi kiểm tra xem máy có khai báo Default Gateway hay khơng • Nếu có khai báo Default Gateway máy gửi gửi gói tin thơng qua Default Gateway • Nếu khơng có khai báo Default Gateway máy gửi loại bỏ gói tin thơng báo "Destination host Unreachable" Chi tiết trình xử lý máy nhận: Bước 1: Lớp Physical kiểm tra trình đồng bit đặt chuỗi bit nhận vào vùng đệm Sau thơng báo cho lớp Data link liệu nhận Bước 2: Lớp Data link kiểm lỗi frame cách kiểm tra FCS trailer Nếu có lỗi frame bị bỏ Sau kiểm tra địa lớp Data link (địa MAC) xem có trùng với địa máy nhận hay khơng Nếu phần liệu sau loại header trailer chuyển lên cho lớp Network Bước 3: địa lớp Network kiểm tra xem có phải địa máy nhận hay khơng (địa IP) Nếu liệu chuyển lên cho lớp Transport xử lý Bước 4: Nếu giao thức lớp Transport có hỗ trợ việc phục hồi lỗi số định danh phân đọan xử lý Các thơng tin ACK, NAK (gói tin ACK, NAK dùng để phản hồi việc gói tin gửi đến máy nhận chưa) xử lý lớp Sau trình phục hồi lỗi thứ tự phân đoạn, liệu đưa lên lớp Session Bước 5: Lớp Session đảm bảo chuỗi thông điệp trọn vẹn Sau luồng hoàn tất, lớp Session chuyển liệu sau header lớp lên cho lớp Presentation xử lý Bước 6: Dữ liệu lớp Presentation xử lý cách chuyển đổi dạng thức liệu Sau kết chuyển lên cho lớp Application Bước 7: lớp Application xử lý header cuối Header chứa tham số thỏa thuận hai trình ứng dụng Do tham số thường trao đổi lúc khởi động q trình truyền thơng hai trình ứng dụng 1.2 Mơ hình TCP/IP Tham khảo lý thuyết: Mơn: Các giao thức mạng internet Chương 1: Tổng quan Internet chồng giao thức TCP/IP 1.3 Kiến trúc chồng giao thức TCP/IP 1.3 Các công cụ chặn bắt gói tin: Hàng ngày, có hàng triệu vấn đề lỗi mạng máy tính, từ việc đơn giản nhiễm Spyware việc phức tạp lỗi cấu hình router, vấn đề khơng đơn giản xử lý tất Tất vấn đề mạng xuất phát mức gói tín, việc chặn bắt phân tích chúng việc cần phải làm muốn xử lý vấn đề liên quan đến mạng Hiện có nhiều loại cơng cụ chặn bắt phân tích gói tin khác như: tcpdump, wireshark, Ettercap … Trong giới thiệu tập trung tìm hiểu cơng cụ tcpdump wireshark 1.3.1 Wireshark Giới thiệu wireshark Wireshark phần mềm mã nguồn mở dùng để bắt phân tích gói tin lưu thơng qua card mạng máy tính Phần mềm sử dụng nhiều tảng khác Linux, Windows, Mac OS X, Solaris … WireShark có bề dày lịch sử Gerald Combs người phát triển phần mềm Phiên gọi Ethereal phát hành năm 1998 Tám năm sau kể từ phiên đời, Combs từ bỏ công việc để theo đuổi hội nghề nghiệp khác Thật khơng may, thời điểm đó, ơng khơng thể đạt thoả thuận với công ty thuê ông việc quyền thương hiệu Ethereal Thay vào đó, 10 #yum install libpcap Hình 8: download libcap lệnh yum Bước 2: cài đặt TCPDump Sau cài đặt thành công Libpcap tiến hành cài đặt TCPDump Tương tự libpcap có cách để cài đặt TCPDump  Cách 1: Cũng tương tự với libpcap download phiên TCPDump http://www.tcpdump.org/ Ở sử dụng tcpdump-4.6.1 Tiến hành cài đặt tương tự lệnh sau: # wget http://www.tcpdump.org/release/tcpdump-4.6.1.tar.gz # tar -xzvf tcpdump-4.6.1.tar.gz # cd tcpdump-4.6.1 #./configure # make 22 # make install Hình 9: make install thành công tcpdump  Cách 2: Sử dụng lệnh yum install tcpdump để download cài đặt TCPDump Bước 3: Thử nghiệm sử dụng công cụ TCPDump Sau cài đặt thành công libpcap TCPDump Kiểm tra optioin TCPDump câu lệnh tcpdump option –r 23 Hình 10: Các option tcpdump Ở hình vẽ thấy version tcpdump libpcap 4.6.1 1.6.1 giống cài đặt phần Như giới thiệu TCPDump hỗ trợ nhiều option khác giúp người sử dụng thuận lợi việc lọc phân tích gói tin theo u cầu cách hiệu Sử dụng lệnh #tcpdump –D để xem interface 24 Hình 11: xem interface qua lệnh tcpdump -D Bắt gói tin Ping ICMP card mạng eth0 lệnh #tcpdump -i eth0 icmp Hình 12: Bắt gói tin Ping ICMP lệnh tcpdump –i eth0 icmp 25 2.1.3 Ghi nhận phân tích kết  Kết mong muốn Cài đặt thành công công cụ chặn bắt gói tin TCPDump thư viện libpcap môi trường linux Sử dụng số chức tcpdump Hiểu chế làm việc libpcap TCPDump  Kết thực Sau cài đặt thành công tcpdump tiến hành chạy tcpdump kiểm tra card mạng thử bắt gói tin Ping ICMP card mạng eth0 2.2 Bài thực hành số 2: Tên bài: Cài đặt sử dụng công cụ chặn bắt gói tin Wireshark thư viện winpcap mơi trường Windows 26 2.2.1 Mục đích u cầu:  Mục đích: Giúp sinh viên cài đặt cơng cụ chặn bắt gói tin wireshark thư viện winpcap môi trường Windows cụ thể Windows  Yêu cầu: o Sinh viên nắm rõ nội dung lý thuyết o Hiểu mơ hình OSI TCP/IP  Thời gian thực hiện: tiết  Nhóm thực hiện: Gồm sinh viên 2.2.2 Nội dung:  Chuẩn bị: Sử dụng máy tính có kết nối mạng internet LAN để tiến hành bắt gói tin Trên máy tính cài đặt hệ điều hành Windows (Hoặc hệ điều hành Windows khác)  Các bước thực hiện: Bước 1: Cài đặt winpcap Cũng tcpdump winpcap, wireshark muốn hoạt động cần có thư viện winpcap hỗ trợ việc chặn bắt xem nội dung gói tin 27 Download winpcap trang http://www.winpcap.org/ Ở dùng winpcap 4.1.3 Hình 13: Download winpcap 4.1.3 cho Windows Sau download tiến hành cài đặt winpcap Hình 14: Cài đặt winpcap thành cơng Bước 2: Cài đặt Wireshark Download xem thông tin liên quan đến wireshark thông qua trang https://www.wireshark.org Ở sử dụng wireshark 1.12.0 cho Windows 28 Hình 15: Download wireshark trang www.wireshark.org Sau download thành công tiến hành cài đặt việc click vào biểu tượng WireShark Hình 16: Lựa chọn component cài đặt 29 Hình 17: Lựa chọn đường dẫn để cài đặt Hình 18: Install wireshark 30 Hình 19: Cài đặt xong wireshark Bước 3: Sử dụng wireshark Sau cài đặt thành công winpcap wireshark sử dụng để chặn bắt gói tin Wireshark môt công cụ mạnh mẽ hỗ trợ việc chặn bắt gói tin giao diện đồ họa Hình 20: Giao diện wireshark 31 Ở học sử dụng số chức Xem lựa chọn interface để capture:  Click vào dòng Interface List hình  Click vào capture công cụ chọn interface…  Nhấm tổ hơp phím ctrl + i Hình 21: Giao diện hiển thị interface Sau xem interface tiến hành chặn bắt gói tin qua interface việc chọn interface nhấn nút Start bắt đầu capture gói tin Hình 22: Hiển thị gói tín bắt card ethernet 32 Wireshark hỗ trợ nhiều tính bật cho phép bạn xem chi tiết nội dung gói tin việc click lần vào gói tin muốn xem nội dung Hình 23: Xem chi tiết gói tin Do số lượng gói tin lớn mà khơng phải gói tin cần thiết đơn giản bạn muốn xem vài gói tin Wireshark cung cấp chức filter Cách để áp dụng filter nhập thơng tin vào Filter, sau nhấn Apply nhấn Enter Ví dụ, gõ dns nhìn thấy gói liệu DNS Ngay nhập từ khóa, Wireshark tự động hồn chỉnh chuỗi thơng tin dựa vào gợi ý tương ứng 33 Hình 24: filter gói tin DNS Hoặc nhấn menu Analyze > Display Filters để tạo filter mới: Hình 25: Tạo filter qua giao diện Display Filters 34 Cách khắc nhấn chuột phải vào gói tin chọn Follow TCP Stream: Chúng ta thấy toàn quãng thời gian giao tiếp server client, filter tự động áp dụng, Wireshark tiếp tục hiển thị đầy đủ xác gói tin có liên quan: Hình 26: Follow TCP Stream gói tin 2.2.3 Ghi nhận phân tích kết  Kết mong muốn Cài đặt thành công công cụ chặn bắt gói tin wireshark thư viện winpcap môi trường Windows Sử dụng số chức wireshark Hiểu chế làm việc winpcap Wireshark  Kết thực Sau cài đặt thành công wireshark, tiến hành chạy wireshark bắt gói tin card mạng Ethernet 35 Filter thành cơng gói tin DNS 36 ...  Bắt gói tin qua card mạng  Liệt kê cách chi tiết gói tin bắt  Lưu trữ mở lại thông tin bắt dạng file  Tiến hành lọc gói tin bắt nhiều tiêu chuẩn khác  Tạo biểu đồ thống kê gói tin qua card... bổ sung thêm thông tin định tuyến - Tiếp liệu chuyển xuống lớp Data link, lớp packet cắt thành nhiều frame bổ sung thêm thông tin kiểm tra gói tin (để kiểm tra nơi nhận) - Cu i cùng, frame tầng... hiển thị dòng thời gian chênh lệch thời gian tcpdump bắt gói tin gói tin gói tin  -K: với option tcpdump bỏ qua việc checksum gói tin  -N: sử dụng option tcpdump không in quality domain name