Giới thiệu Bài thực hành “Phân tích gói tin nâng cao” sẽ tìm hiểu một số vấn đề về việc phân tích gói tin của hệ thống mạng không dây khi bị tấn công.. Cài đặt chương trình Wireshark
Trang 1BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
HỌC PHẦN
THỰC TẬP TỐT NGHIỆP
BÁO CÁO BÀI THỰC HÀNH
PHÂN TÍCH GÓI TIN NÂNG CAO
Họ tên SV : Nguyễn Văn Dũng
Mã SV : AT100121
Ngày gửi : 20/05/2019
Hà Nội, 2019
Trang 2i
MỤC LỤC
1 Điều kiện tiên quyết 3
2 Giới thiệu 3
3 Kịch bản thực hành 3
4 Mục tiêu bài thực hành 3
5 Tổ chức thực hành 3
6 Môi trường thực hành 3
6.1 Phần cứng, phần mềm 3
6.2 Máy ảo và công cụ 3
7 Các nhiệm vụ cần thực hiện 3
Nhiệm vụ 1 Xác định BSSID, SSID 3
Nhiệm vụ 2 Mã hóa trong WLAN 1
Nhiệm vụ 3 Phân tích các trạm liên quan 3
Nhiệm vụ 4 Phân tích những dấu hiệu bất thường 5
Trang 3Thông tin phiên bản bài thực hành
Phiên
bản
Comment [LL1]: Nhiệm vụ thực hiện Comment [LL2]: Người thực hiện
Trang 41 Điều kiện tiên quyết
Không
2 Giới thiệu
Bài thực hành “Phân tích gói tin nâng cao” sẽ tìm hiểu một số vấn đề về việc phân tích gói tin của hệ thống mạng không dây khi bị tấn công
3 Kịch bản thực hành
Có 1 hệ thống mạng không dây của một công ty do A quản lý Một buổi tối,
A nhận thấy hệ thống mạng do anh ta quản lý bị tấn công và sau đó A không truy cập được vào giao diện quản lý WAP của mạng này nữa Tuy nhiên anh ta đã kịp thu thập luồng dữ liệu tấn công này (wlan.pcap) A cung cấp cho chúng ta gói tin wlan.pcap và cung cấp them thông tin địa chỉ MAC của A là 00:11:22:33:44:55 và khẳng định khi đó không ai khác sử dụng WAP này
4 Mục tiêu bài thực hành
Trình bày các mục tiêu của bài thực hành theo các gạch đầu dòng:
- BSSID, SSID của WAP là gì?
- WAP có sử dụng mã hóa không?
- Những trạm nào có trong mạng WLAN?
- Có gì bất thường trong hệ thống mạng?
5 Tổ chức thực hành
Yêu cầu thực hành: Thực hành độc lập
6 Môi trường thực hành
6.1 Phần cứng, phần mềm
Yêu cầu phần cứng:
01 máy tính
Cấu hình CPU core i3, Ram 8Gb, SSD 120GB
Yêu cầu phần mềm trên máy:
Hệ điều hành Windows 10
Phần mềm cần thiết: Vmware,WireShark
Yêu cầu kết nối mạng Internet: không
6.2 Máy ảo và công cụ
- Cài 01 máy ảo Kali Linux trên phần mềm Vmware
7 Các nhiệm vụ cần thực hiện
Nhiệm vụ 1 Xác định BSSID, SSID
Trang 5 Cài đặt chương trình Wireshark sau đó sử dụng Wireshark tiến hành mở gói tin cần phân tích (wlan.pcap)
Sử dụng bộ lọc của Wireshark với nội dung wlan.fc.type_subtype==0x08
để tìm ra các khung Beacon
Sau khi sử dụng bộ lọc ta thu được kết quả như hình trên Chúng ta thu được những thông tin trong Beacon frame, BSSID của WAP là
“00:23:69:61:00:d0”, SSID là “Ment0rNet”, kênh hoạt động là 2
Nhiệm vụ 2 Mã hóa trong WLAN
Trang 6 Để xác định các dữ liệu truyền trong WLAN có được mã hóa không, ta tiến hành lọc cái khung dữ liệu (Data frame) bằng bộ lọc
wlan.fc.type_subtype==0x20
Tiến hành phân tích một khung dữ liệu bất kỳ ta có thể thấy Type frame = 2 (Data Frame), Subtype = 0, Bit Protected được thiết lập giá trị 1 Điều này chứng tỏ dữ liệu đã được mã hóa
Sử dụng tính năng Protocol Hierachy, ta đếm được có tất cả 59274 khung dữ liệu đã được mã hóa
Trang 7Nhiệm vụ 3 Phân tích các trạm liên quan
Khi các máy trạm muốn tiến hành kết nối tới WAP sẽ tiến hành gửi các Management frame là Association Request (subtype=0) và sẽ nhận được các Association Response (subtype=1) trả về Chúng ta sẽ sử dụng Wireshark để
lọc các Assosiation Response trả về wlan.fc.type_subtype==0x01
Trang 8Quan sát thấy có 73 kết quả được trả về (Displayed-73) hoặc sử dụng tính năng Protocol Hierachy để xem số lượng Assosiation Response trả về
Tiến hành phân tích 1 frame bất kỳ Ta thấy phần Status code: Successful (0x0000) Có nghĩa đây là một trạm đã tiến hành kết nối thành công tới WAP và nhận được Association Reponse trả về với code Successful (0x0000)
Thực tế, không phải kết nối nào đến WAP cũng thành công, do đó để lọc những kết nối thành công đến WAP chúng ta phải sử dụng thêm bộ lọc
wlan_mgt.fixed.status_code==0x0000 Chúng ta thu được 73 kết quả trả về, vậy
có thể kết luận không có kết nối nào thất bại đến WAP
Trang 9 Sử dụng tính năng Conversations tiến hành thống kê các địa chỉ và số lần kết nối Người dùng kết nối thành công 4 lần và một kết nối khác không rõ kết nối 68 lần
Nhiệm vụ 4 Phân tích những dấu hiệu bất thường
Sử dụng hệ điều hành Kali để phân tích những đấu hiệu bất thường
Sao chép file „wlan.pcap‟ vào hệ điều hành kali và sử dụng tshark để phân tích nhanh 1 số thông tin
- Số lượng khung dữ liệu được mã hóa:
Trang 10Sử dụng câu lệnh:
tshark -r '/root/Desktop/wlan.pcap'
'(wlan.fc.type_subtype==0x20)&&(wlan.fc.protected==1)'| wc –l
quan sát kết quả thu được 59274 khung dữ liệu bị mã hóa, trùng với kết quả sử dụng Wireshark ở trên
- Để biết số lượng khung dữ liệu được mã hóa gửi đi từ những địa chỉ nào
(sử dụng bộ lọc wlan.sa – source adress) sử dụng câu lệnh:
tshark -r '/root/Desktop/wlan.pcap' -Y
'(wlan.fc.type_subtype==0x20)&&(wlan.fc.protected==1)' -T fields -e
wlan.sa|sort|uniq -c|sort –nr
Trang 11Chúng ta có thể thấy 1 trạm chưa rõ định danh (1c:4b:d6:69:cd:07) gửi khoảng gấp 3 lần số khung dữ liệu mà trạm của người dùng đã gửi
Địa chỉ “00:23:69:61:00:ce” chỉ khác byte cuối cùng so với BSSID Trên thực tế, WAP không chỉ cung cấp dịch vụ truy cập phân tán mà nó còn hoạt động như một trạm cung cấp các dịch vụ quản lý, DHCP, ghi log…Do vậy WAP của chúng ta sử dụng địa chỉ “00:23:69:61:00:d0” để cung cấp dịch vụ truy cập và sử dụng địa chỉ
“00:23:69:61:00:ce” để cung cấp các dịch vụ khác (DHCP, logging…)
- Số lượng khung dữ liệu được mã hóa gửi đi đến những địa chỉ nào (sử
dụng bộ lọc wlan.da – destination adress):
tshark -r '/root/Desktop/wlan.pcap' -Y
'(wlan.fc.type_subtype==0x20)&&(wlan.fc.protected==1)' -T fields -e
wlan.da|sort|uniq -c|sort -nr
Ta có thể nhận thấy khoảng 42837 khung dữ liệu mã hóa được gửi tới địa chỉ broadcast và chúng hầu hết được gửi từ 1c:4b:d6:69:cd:07
- Số lượng khung dữ liệu xét theo cả địa chỉ nguồn và địa chỉ đích:
tshark -r '/root/Desktop/wlan.pcap' -Y
'(wlan.fc.type_subtype==0x20)&&(wlan.fc.protected==1)' -T fields -e wlan.sa -e wlan.da|sort|uniq -c|sort -nr
Trang 12Nhận xét:
Trạm 1c:4b:d6:69:cd:07 gửi 42816 khung dữ liệu tới địa chỉ broadcast (ff:ff:ff:ff:ff:ff)
14076 và 858 khung dữ liệu được gửi giữa người dùng (00:11:22:33:44:55) và WAP (00:23:69:61:00:ce)
740 khung dữ liệu được gửi đi giữa de:ad:be:ef:13:37 và WAP (
00:23:69:61:00:ce)
Chúng ta đưa ra giả thuyết lý do cho việc gửi một số lượng lớn gói tin tới địa chỉ quảng bá:
- ARP request
- Tấn công phá khóa WEP Ở đây chúng ta nghiêng về giả thuyết này:
Giả thiết rằng 1c:4b:d6:69:cd:07 là nhân tố khả nghi Sử dụng tshark để lưu lại
toàn bộ hoạt động từ trạm này
tshark -r '/root/Desktop/wlan.pcap' -Y '(wlan.sa==1c:4b:d6:69:cd:07)' -T fields -e wlan.fc.type -e wlan.fc.subtype | sort -n| uniq -c| sort –
nr
42816 khung dữ liệu
Trang 1377 yêu cầu xác thực
69 yêu cầu kết nối
Để tiến hành lấy khóa từ WEP chúng ta sẽ sử dụng aircrack Aircrack-ng là bộ chương trình được viết với mục đích công phá khóa mạng WEP, WPA-PSK và được tích hợp sẵn trên Kali Linux Sử dụng câu lệnh:
#aircrack-ng -b 00:23:69:61:00:d0 '/root/Desktop/wlan.pcap'
Khóa thu được [D0:E5:9E:B9:04], tấn công thành công
Kết luận :Mạng của người dùng bị tổn hại, WEP thực sự bị bẻ khóa do vậy khóa WEP cần thay đổi
Chúng ta sử dụng Wireshark để tiến hành giải mã nội dung các gói tin với khóa thu được [D0:E5:9E:B9:04] Vào Edit->Preferences->Protocol->IEEE 802.11
Trang 14Trước lúc giải mã:
Sau khi điền khóa thu được, các khung dữ liệu (Data frame) sẽ được tiến hành giải mã:
Trang 15Tiến hành kiểm tra các thông tin sau khi giải mã, ta thấy máy có địa chỉ MAC de:ad:be:ef:13:37 tương ứng với địa chỉ IP 192.168.1.109, MAC 00:23:69:61:00:ce có địa chỉ IP 192.168.1.1 Sử dụng bộ lọc để xem các trao đổi giữa 2 địa chỉ trên:
Tiếp tục sử dụng Follow TCP Stream ta dễ dàng thấy được de:ad:be:ef:13:17 đã thực hiện xác thực sử dụng HTTP Basic Access Authentication Thông tin được dùng để xác thực là YWRtaW46YWRtaW4= (đã
bị mã theo base64)
Thực hiện giải mã thông tin trên thu được thông tin xác thực có username=admin và password=admin
Trang 16Kẻ tấn công sau khi bẻ khóa WEP đã thực hiện kết nối vào mạng, đăng nhập vào giao diện quản trị WAP sử dụng tài khoản mặc định
