Kịch bản thực hành Đóng vai một người quản trị hệ thống hay một chuyên gia phân tích gói tin, sinh viên sẽ tìm phương thức hoạt động của các giao thức mạng như: ARP, ICMP, SMTP, SSL, TL
Trang 1BAN CƠ YẾU CHÍNH PHỦ
Trang 2MỤC LỤC
Phần 1 Điều kiện tiên quyết 2
Phần 2 Giới thiệu 2
Phần 3 Kịch bản thực hành 2
Phần 4 Mục tiêu bài thực hành 2
Phần 5 Tổ chức thực hành 2
Phần 6 Môi trường thực hành 2
6.1 Phần cứng, phần mềm 2
6.2 Máy ảo và công cụ 3
Phần 7 Sơ đồ thực hành 3
Phần 8 Các nhiệm vụ cần thực hiện 3
Nhiệm vụ 1: Thực hiện phân tích các gói tin và trả lời các câu hỏi để hiểu về giao thức ARP và ICMP 3
Nhiệm vụ 2 Thực hiện phân tích các gói tin và trả lời các câu hỏi để hiểu về giao thức SMTP, IMAP & POP3 12
Nhiệm vụ 3 Thực hiện phân tích các gói tin và trả lời các câu hỏi để hiểu về giao thức SSL/TLS 20
Phần 2 Đánh giá bài thực hành 26
Trang 3Thông tin phiên bản bài thực hành
Phiên
bản
Trang 4Phần 1 Điều kiện tiên quyết
Không
Phần 2 Giới thiệu
Wireshark là một công cụ kiểm tra, theo dõi và phân tish thông tin mạng được phát triển bởi Gerald Combs Phiên bản đầu tiên của Wireshark mang tên Ethereal được phát hành năm 1988 Wireshark giúp bắt gói tin, sau đó phân tích để hiển thị khuôn dạng dữ liệu của từng gói tin dưới dạng tường minh nhất có thể Wireshark sử dụng Winpcap - phần mềm dùng để thu nhập tức thì các luồng dữ liệu trong mạng - để bắt các gói tin, vì vậy nó chỉ hoạt động trên máy tính đã cài đặt phần mềm wincap (Khi cài đặt Wireshark sẽ yêu cầu cài đặt phần mềm này)
Trong bài thực hành này, chúng ta sẽ bước đầu tiếp cận với công việc phân tích gói tin thông qua việc phân tích một số giao thức mạng phổ biến như: ARP, ICMP, SMTP, SSL bằng phần mềm Wireshark
Phần 3 Kịch bản thực hành
Đóng vai một người quản trị hệ thống hay một chuyên gia phân tích gói tin, sinh viên sẽ tìm phương thức hoạt động của các giao thức mạng như: ARP, ICMP, SMTP, SSL, TLS,… và tiến hành phân tích một số gói tin liên quan trực tiếp đến các giao thức nói trên và trả lời hoặc đưa ra các giải thích, kết luận cho mỗi câu hỏi được đưa ra
Phần 4 Mục tiêu bài thực hành
Bài thực hành này nhằm giúp sinh viên học và hiểu về:
- Các giao thức mạng phổ biến: ARP, ICMP, SMTP, SSL, TLS,…
- Sử dụng phần mềm Wireshark để phân tích các gói tin
Cấu hình tối thiểu: Intel Core i3, 4GB RAM, 10 GB ổ cứng
Yêu cầu phần mềm trên máy:
Hệ điều hành trên máy tính: Windows 7 64bit trở lên
Phần mềm Wireshark
Trang 5 Yêu cầu kết nối mạng Internet: có
6.2 Máy ảo và công cụ
Khi phân tích gói tin trên, ta thấy gói tin số 1 và gói tin số 2 đều được đánh dấu với giao thức ARP Phân tích gói tin số 1, ta thấy gói tin số 1 là gói tin quảng bá (Broadcast) vì địa chỉ MAC là: ff:ff:ff:ff:ff:ff, với mục đích hỏi toàn mạng rằng, địa chỉ MAC nào đang có địa chỉ IP là 192.168.75.32 hãy phản hồi tới địa chỉ MAC 00:50:56:c0:00:08 ứng với địa chỉ IP 192.168.75.1 Vì vậy thông qua gói tin
số 1, ta dễ dàng có được các thông tin như sau:
Trang 6 Gói tin số 1 là gói tin ARP request
Địa chỉ MAC server: MAC address: 00:0c:29:0f:71:a3
4 Trong các gói tin tiếp theo, xác định Port host và Port server Giải thích tại sao các gói tin lại không cần di chuyển thông qua default gateway của mạng?
Với thông tin của ba gói tin số 3, 4 và 5, ta dễ dàng nhận ra được đây là quá trình bắt tay ba bước của giao thức TCP giữa hai địa chỉ IP host và IP server với dấu hiệu là các cờ như:
[SYN] gói tin số 3
[SYN,ACK] gói tin số 4
[ACK] gói tin số 5
Qua đây ta cũng xác định được thông tin các cổng đang hoạt động tại host và server:
Giá trị Port host: địa chỉ cổng nguồn trong gói tin số 3 là 2427
Giá trị Port server: địa chỉ cổng đích trong gói tin số 3 là 80
Trang 75 Để giải thích cho câu hỏi: vì sao các gói tin không cần đi qua default gateway của mạng, ta thấy địa chỉ ip host: 192.168.75.1 và địa chỉ ip server: 192.168.75.132 đều nằm chung trên một mạng với subnetmask là 255.255.255.0, chính vì vậy, mọi gói tin trao đổi giữa host và server có thể được trao đổi trực tiếp mà không cần đi qua default gateway
6 Tiến hành tải xuống gói tin, sau đó mở và tiến hành phân tích với Wireshark tại địa chỉ: http://asecuritysite.com/log/googleWeb.zip
7 Tương tự với gói tin webpage.pcap, câu hỏi đầu tiên với gói tin
googleWeb.pcap: Trong trường hợp host kết nối tới máy chủ của google, xác định địa chỉ IP và địa chỉ MAC của host, địa chỉ IP và địa chỉ MAC của Gateway, liệu
ta có thể xác định được đia chỉ MAC của máy chủ google hay không?
Ta thấy trong trường hợp này, host muốn liên lạc và trao đổi thông tin với máy chủ của google, chính vì vậy, mọi gói tin của host cần gửi đến google thông qua default gateway Gói tin số 3 và số 4 lần lượt là hai gói tin ARP request và ARP reply, với các thông tin của host và gateway như sau:
Địa chỉ IP host: 192.168.0.20
Trang 8 Địa chỉ MAC host: 00:1f:3c:4f:30:1d
Địa chỉ IP gateway: 192.168.0.1
Địa chỉ MAC gateway: 00:18:4d:b0:d6:8c
8 Chúng ta có thể xác định địa chỉ MAC của google trong các gói tin này hay không? Đáp án là không thể Như trong các gói tin ở trên, ta chỉ có thể thu được địa chỉ MAC của host và gateway, mặc dù host và máy chủ của google làm việc trực tiếp với nhau, nhưng chúng làm việc thông qua các giao thức như TCP, DNS, HTTP Ngoài ra, sau khi các gói tin được gửi qua gateway ra ngoài mạng nội bộ, gói tin sẽ được các thiết bị định tuyến gửi qua rất nhiều các nút mạng khác trước khi đến địa chỉ đích, vì vậy, các gói tin không đủ thông tin để ta xác định được địa chỉ MAC của máy chủ google
9 Tải về tập tin dưới đây và mở gói tin với công cụ Wireshark, http://asecuritysite.com/log/arp_scan.zip
10 Arp_scan.pcap chứa các gói tin sau khi tiến hành ARP scan, với gói tin này, ta
có các câu hỏi cần giải quyết như sau: Xác định mục đích của việc ARP scan, vị trí
Trang 9và địa chỉ IP của kẻ xâm nhập, và những địa chỉ IP nào đang hoạt động trong mạng đã được kẻ xâm nhập đã phát hiện ra?
11 Tấn công ARP scan hay còn gọi là tấn công dò quét mạng với giao thức ARP, được những kẻ xâm nhập dùng để xác định xem những host nào đang hoạt động trong mạng Ở đây ta thấy rằng, địa chỉ MAC: 00:0c:29:1d:b3:b1 với IP: 192.168.47.171 tiến hành gửi liên tục các gói tin ARP request tới địa chỉ broadcast: ff:ff:ff:ff:ff:ff nhằm xác định các địa chỉ IP trong dải mạng 192.168.47.0/24 Vì vậy ta có thể xác định rằng:
Kẻ tấn công thực hiện tấn công ARP scan bên trong mạng LAN
Địa chỉ IP của kẻ tấn công là: 192.168.47.171
12 Để xác định được các host nào đã bị phát hiện sau quá trình ARP scan của kẻ xâm nhập, ta cần đi sâu hơn vào các gói tin ARP và thiết lập một luật để tiến hành lọc với bộ lọc Đầu tiên, ta phân tích một gói tin ARP request, ta thấy trường opcode có giá trị request (1) Tiến hành xây dựng luật như sau: arp.opcode = = 1,
và tiến hành sử dụng bộ lọc để theo dõi kết quả Ta thu được tất cả các gói ARP request
13 Để xác định các host đang hoạt động, kẻ xâm nhập cần phải thống kê các địa chỉ IP phản hồi lại gói ARP response Vì vậy ta tiếp tục sử dụng bộ lọc với luật:
Trang 10arp.opcode = = 2 – với giá trị 2 là giá trị reply! Ta thu được các host đang hoạt động trong mạng
14 Thực hiện bắt các gói tin qua card mạng của máy tính với Wireshark Thực hiện ping tới actvn.edu.vn Dừng thu thập gói tin, xác định địa chỉ IP và địa chỉ MAC của gateway
15 Mở phần mềm Wireshark, sau đó chọn card mạng phù hợp để tiến hành bắt các gói tin
16 Từ cửa sổ dòng lện Windows, tiến hành ping tới actvn.edu.vn Sau đó chọn
“Stop Capturing packets” để dừng việc bắt gói tin từ Wireshark
Trang 1117 Sau đó, sử dụng luật: arp, để tiến hành lọc các gói tin sử dụng giao thức arp và hiển thị ra màn hình Ở đây, ta xác định được thông tin địa chỉ IP và địa chỉ MAC của gateway, như sau:
Địa chỉ IP gateway: 192.168.1.2
Địa chỉ MAC gateway: 00:50:56:e0:8e:14
18 Xác định ARP trên máy bằng cửa sổ dòng lệnh Hỏi địa chỉ IP của một máy cùng mạng, sau đó tiến hành ping tới địa chỉ IP đó Kiểm tra lại bảng ARP và chỉ
ra sự thay đổi Thêm một địa chỉ bằng câu lệnh arp -s, chỉ ra sự thay đổi?
19 Từ cửa sổ dòng lệnh của windows, gõ “arp -a” để kiểm tra bảng ARP cache
Trang 1220 Sau đó hỏi địa chỉ IP cùng mạng, tiến hành ping tới địa chỉ đó, trong trường hợp này, ta giả sử địa chỉ IP hỏi được là 192.168.1.1, tiến hành ping tới 192.168.1.1 và kiểm tra lại bảng ARP cache
21 Thực hiện định tuyến tĩnh bằng câu lệnh arp -s, kiểm tra lại bảng ARP sau đó,
ta có kết quả sau khi định tuyến tĩnh
22 Từ cửa sổ dòng lệnh, sử dụng câu lệnh ping tới địa chỉ: actvn.edu.vn và hocvienact.edu.vn Xác định loại gói tin ICMP được sử dụng trong ping request và reply với Wireshark Xác định phần dữ liệu trong hai gói tin ICMP request và reply liên tiếp?
Trang 1323 Tiến hành ping tới actvn.edu.vn và hocvienact.edu.vn, đồng thời trên Wireshark lắng nghe các gói tin
24 Qua phân tích ta có thể xác định được các gói tin ICMP request có type với giá trị 8 và ICMP reply có type giá trị 0 Với bộ lọc, sử dụng luật “icmp.type = = 8” để lọc các gói tin ICMP request và “icmp.type = = 0” để lọc các gói tin ICMP reply
25 Phân tích hai gói tin ICMP request và reply tương ứng, ta dễ dàng thấy dữ liệu
từ hai gói tin là một giá trị giống nhau
Trang 14Nhiệm vụ 2 Thực hiện phân tích các gói tin và trả lời các câu hỏi để hiểu về giao thức SMTP, IMAP & POP3
Địa chỉ IP và cổng TCP được máy Host sử dụng để gửi email, địa chỉ IP và cổng TCP được máy Server sử dụng, địa chỉ email người gửi, địa chỉ email người nhận, thời gian gửi email, ứng dụng email khách được sử dụng để gửi email là gì, nội dung tin nhắn chủ đề của email, đối với giao thức SMTP, chuỗi ký tự nào được sử
Trang 152 Từ quá trình bắt tay ba bước của giao thức TCP, ta xác định được:
Địa chỉ IP được máy Host sử dụng để gửi email: 192.168.0.12
Địa chỉ cổng TCP được máy Host sử dụng để gửi email: 1713
Địa chỉ IP được máy Server sử dụng: 192.168.0.13
Địa chỉ cổng TCP được máy Server sử dụng: 25
3 Sử dụng bộ lọc với luật “smtp” để lọc các gói tin sử dụng giao thức SMTP, sau
đó tiến hành follow TCP stream, ta trả lời được các câu hỏi còn lại như sau:
Địa chỉ email người gửi: martin.tor@4salet.com
Địa chỉ email người nhận: bert.manly@five8nine.com
Thời gian gửi email: Mon, 11 Mar 2013 22:10:34
Ứng dụng email khách được sử dụng để gửi email là: Microsoft Outlook Express 6.00.3790.3959
Nội dung tin nhắn chủ đề của email:
Subject:
T2theS4gSSB0aGluayBpdCBpcyBhbGwgc2V0dXAgZm9yIHlvdS4gSnVzdCBjb25uZWN0IHRvIHRoZSBsaW5rLCBhbmQgaXQgc2hvdWxkIGJlIGZpbmUu
Đối với giao thức SMTP, chuỗi ký tự được sử dụng để kết thúc tin nhắn là:
<CRLF>.<CRLF>
Trang 164 Tải xuống tập tin và mở với phần mềm Wireshark, trả lời các câu hỏi sau đây:
Địa chỉ IP và cổng TCP của máy host đang gửi email, địa chỉ IP và cổng TCP được máy chủ POP-3 sử dụng, hộp thư của ai đang được truy cập, có bao nhiêu tin nhắn trong hộp thư đến, số bytes của các tin nhắn Đối với tin nhắn thứ nhất, thứ hai và thứ ba, người đã gửi tin nhắn và chủ đề là gì và phác thảo nội dung của các tin nhắn đó Lệnh POP-3 nào được sử dụng để lấy nội dung tin nhắn?
http://asecuritysite.com/log/pop3.zip
5 Tại các gói tin 13, 14, 15, ta xác định được đây là quá trình bắt tay ba bước giữa host và server Ta có các thông tin như sau:
Địa chỉ IP được host sử dụng: 192.168.0.4
Địa chỉ cổng TCP được host sử dụng: 26272
Trang 17 Địa chỉ IP được server sử dụng: 212.227.15.166
Địa chỉ cổng TCP được server sử dụng: 110
6 Để xem được các yêu cầu và quá trình giao tiếp từ host tới server, ta sử dụng bộ lọc với luật “pop.request”, ở đây ta thấy được một số câu lệnh người dùng đã sử dụng như sau:
Lệnh CAPA trả về một các khả năng được hỗ trợ bởi POP-3 server
Lệnh AUTH PLAIN yêu cầu máy chủ sử dụng giao thức xác thực với cơ chế
mã hóa (Encoding) base64
Lệnh STAT hiển thị số lượng tin nhắn hiện có trong hộp thư và kích thước tính theo byte
Sử dụng LIST để nhận bản tóm tắt các tin nhắn trong đó mỗi số tin nhắn được hiển thị với kích thước tính theo byte bên cạnh nó
Sử dụng lệnh RETR để lấy thông tin của một tin nhắn cụ thể ví dụ RETR 1, RETR 2, RETR 3,…
Khi sử dụng câu lệnh CAPA, nếu server trả lời UIDL nghĩa là tùy chọn UIDL được hỗ trợ Máy chủ POP3 có thể gán một số duy nhất cho mỗi thư đến Điều này cho phép thư được để lại trên máy chủ sau khi thư đã được tải xuống cho người dùng
QUIT để thoát khỏi đoạn hội thoại
7 Tương ứng với các gói yêu cầu là các gói phản hồi, sau khi xác thực thành công, người dùng sẽ nhận được thông tin email cá nhân: digitalinvestigator@networksims.com và số lượng tin nhắn trong hộp thư là 3 tin nhắn
Trang 188 Để xem được nội dung các tin nhắn ta sử dụng bộ lọc với tập luật “imf” IMF ở đây viết tắt của Internet Message Format, là định dạng tin nhắn văn bản được truyền qua môi trường internet
9 Sau đó tiến hành follow > TCP Stream tại gói tin số 95
10 Sau khi người dùng sử dụng LIST để liệt kê số tin nhắn và các byte của mỗi tin nhắn ta thu được kết quả:
Tin nhắn số 1 - 5565 bytes
Tin nhắn số 2 - 8412 bytes
Tin nhắn số 3 - 5214 bytes
Trang 1911 Để đọc thông tin của tin nhắn 1, người dùng sử dụng câu lệnh RETR 1, ta thấy được các thông tin nhứ sau:
Người gửi tin 1: support@1and1.co.uk
Tiêu đề tin 1: A message from 1&1 Internet
Nội dung tin 1: Email chào mừng sau khi đăng ký tài khoản email mới
Trang 2012 Tương tự với tin số 2 và 3, ta có đáp án:
Người gửi tin 2: “Buchanan, Bill" <B.Buchanan@napier.ac.uk>
Tiêu đề tin 2: Testing
Nội dung tin 2: Email giới thiệu Đại học Edinburgh Napier
Người gửi tin 3: "Buchanan, Bill" <B.Buchanan@napier.ac.uk>
Chủ đề tin 3: Testing
Nội dung tin 3: Email cảm ơn
13 Tải xuống tập tin và mở trong Wireshark, xác định: Địa chỉ IP và cổng TCP được máy host đang gửi email, địa chỉ IP và cổng TCP được máy chủ sử dụng, hộp thư của ai đang được truy cập Theo dõi email đã được gửi, các chi tiết cơ bản của
nó Có bao nhiêu tin nhắn trong hộp thư đến, nêu chi tiết của email có trong hộp thư đến?
http://asecuritysite.com/log/imap.zip
Trang 2114 Ta thấy ba gói tin đầu tiên mô tả về quá trình bắt tay ba bước TCP, vì vậy ta
có được thông tin:
Địa chỉ IP được host sử dụng: 192.168.0.4
Địa chỉ cổng TCP được host sử dụng: 23463
Địa chỉ IP được server sử dụng: 212.227.15.167
Địa chỉ cổng TCP được server sử dụng: 25
15 Tiến hành follow TCP stream của giao thức SMTP, ta có được thông tin email đang truy cập: digitalinvestigator@networksims.com và thông tin cơ bản của email
đã được gửi đi
Trang 2216 Để xem được số lượng và nội dung các tin nhắn trong hộp thư đến, sử dụng bộ lọc với luật “imap” để lọc các gói tin với giao thức IMAP, sau đó tiến hành follow TCP stream, ta thấy có 4 tin nhắn trong hộp thư đến Chi tiết của email có trong Hộp thư đến như sau: Email dùng để thử nghiệm, có nội dung chào hỏi và giới thiệu về trường Đại học Edinburgh Napier
Nhiệm vụ 3 Thực hiện phân tích các gói tin và trả lời các câu hỏi để hiểu về giao thức SSL/TLS
