Giáo trình thực hành MẠNG máy TÍNH

Nếu click vào một trong những interfaces đó để bắt đầu bắt gói tin, một màn hình hiện ra như bên dưới, hiển thị thông tin về các gói tin bị bắt.. •Packet-listing windows: hiển thị dòng t

Trường Đại Học Công Nghệ Sài GònKhoa Công Nghệ Thông Tin

sẽ chạy nhiều ứng dụng mạng trong các kịch bản khác nhau sử dụng máy tính cá nhântrên môi trường mạng Internet.

Trong bài thực hành đầu tiên, chúng ta sẽ làm quen với Wireshark và thực hiện bắt cácgói tin cơ bản, sau đó quan sát chúng

Công cụ để quan sát các thông điệp trao đổi giữa các máy tính được gọi là công cụ bắt

trộm gói tin (packet sniffer) Các công cụ này bắt trộm các gói tin được gửi đi hoặc nhận

về máy tính Chúng hoạt động ẩn bên dưới và không gửi bất kỳ gói tin nào Các gói tin bịbắt trộm chỉ là bản sao chép của gói tin chính

Hình 1 cho thấy cấu trúc của công cụ bắt trộm gói tin Bên phải hình 1 là các giao thức(các giao thức trên Internet) và các ứng dụng (như là web browser và ftp client) chạy trênmáy tính của bạn Công cụ bắt trộm gói tin được thể hiện trong hình chữ nhật nét đứt làmột phần mềm trên máy tính gồm có 2 phần Thư viện bắt gói tin nhận bản sao của mỗiframe trên tầng liên kết dữ liệu được gửi đi hoặc nhận về máy tính Nhắc lại rằng cácthông điệp được trao đổi bởi các giao thức tầng cao hơn như HTTP, FTP, TCP, UDP,DNS hoặc IP đều được đóng gói trong frame ở tầng liên kết dữ liệu Trong hình, môitrường truyền dẫn vật lý được giả định là Ethernet nên các gói tin ở các giao thức tầngtrên đều được đóng gói trong Ethernet frame Việc bắt các frames giúp chúng ta quan sáttất cả các thông điệp được gửi đi và nhận về máy tính của mình

Bài 1: GIỚI THIỆU WIRESHARK

Khoa CNTT – Trường ĐH Công Nghệ Sài Gòn Trang 2

Hình 1: Cấu trúc của công cụ bắt trộm gói tin

Thành phần thứ 2 của một công cụ bắt trộm gói tin chính là bộ phân tích gói Bộ phântích gói có nhiệm vụ hiển thị nội dung của các trường trong một gói tin Để làm đượcđiều đó, bộ phân tích gói phải hiểu cấu trúc của tất cả các gói tin được trao đổi bởi cácgiao thức Ví dụ, giả sử chúng ta quan tâm đến nội dung các trường trong các thông điệpcủa giao thức HTTP Bộ phân tích gói phải hiểu định dạng của Ethernet frames, IPdatagram, TCP segment và cuối cùng rút trích nội dung của thông điệp HTTP chứa trongTCP segment Ngoài ra, bộ phân tích gói cũng hiểu giao thức HTTP và biết được cácbytes đầu tiên trong thông điệp HTTP chứa chuỗi “GET”, “POST” hoặc “HEAD”

Chúng ta sẽ sử dụng công cụ Wireshark [http://www.wireshark.org/] cho các bài thựchành Nó cho phép bạn quan sát nội dung của các thông điệp được trao đổi bởi các giaothức tại các tầng khác nhau Wireshark là một công cụ phân tích giao thức mạng miễn phíchạy trên Windows, Linux/Unix và Mac Bạn có thể tìm đọc thêm các hướng dẫn vềWireshark tại địa chỉ:

http://www.wireshark.org/docs/wsug_html_chunked/

hoặc

http://www.wireshark.org/docs/man-pages/ và

các câu hỏi thường gặp tại http://www.wireshark.org/faq.html

Để chạy Wireshark, bạn phải cài Wireshark và thư viện bắt gói tin libpcap hoặc

winPCap Nếu thư viện libpcap chưa có trên máy tính, nó sẽ được cài trong quá trình cài

Wireshark Địa chỉ download: http://www.wireshark.org/download.html

Khi khởi động Wireshark, bạn sẽ thấy giao diện sau:

Hình 2: Giao diện khởi động Wireshark

Nhìn vào góc trên bên trái của giao diện, bạn sẽ thấy “Interface list” Đây là danh sáchcủa các network interfaces trên máy tính Sau khi chọn một interface, Wireshark sẽ bắt tất

cả các gói tin đi qua interface đó Trong ví dụ ở trên, có một Ethernet interface và mộtWireless interface

Nếu click vào một trong những interfaces đó để bắt đầu bắt gói tin, một màn hình hiện

ra như bên dưới, hiển thị thông tin về các gói tin bị bắt Sau khi đã bắt gói tin, bạn có thểdừng lại bằng cách chọn Stop trên thanh menu

Hình 3: Giao diện chính của Wireshark trong suốt quá trình bắt và phân tích gói

tin

Giao diện Wireshark gồm có 5 thành phần chính:

•Command menus: chứa các menu thực hiện các chứng năng chính của Wireshark Chúng

ta quan tâm đến File và Capture File menu cho phép lưu các gói tin đã bị bắt hoặc mởfile chứa các gói tin đã bắt từ trước Capture menu cho phép bắt đầu bắt gói tin

•Packet-listing windows: hiển thị dòng thông tin tóm tắt cho từng gói tin bị bắt, bao gồm số

thứ tự (số này được gán bởi Wireshark, không phải số thứ tự chứa trong header của góitin), thời gian gói tin bị bắt, địa chỉ nguồn và đích, loại giao thức và thông tin đặc tả chogiao thức đó Bạn có thể sắp xếp các dòng theo các tiêu chí bằng cách nhấp vào tên cáccột tương ứng Cột Protocol hiển thị giao thức hoạt động ở tầng cao nhất

•Packet-header details window: cung cấp các thông tin chi tiết về gói tin được chọn từ

packet-listing window Các thông tin này bao gồm chi tiết về Ethernet frame (giả sử góitin được gửi và nhận thông qua Ethernet interface), IP datagram, TCP hoặc UDPsegment Cuối cùng, thông tin về giao thức ở tầng cao nhất cũng được hiển thị

•Packet-contents window hiển thị toàn bộ nội dung của frame dưới dạng ASCII và

III NỘI DUNG THỰC HÀNH:

1 Thử nghiệm Wireshark

Ghi chú rằng nếu bạn không thể chạy Wireshark trên Internet thật sự thì có thể mở fileWireshark_intro có sẵn trong thư mục wireshark-traces

Giả định rằng máy tính bạn có kết nối Internet Thực hiện các bước sau

•Khởi động Web browser

•Khởi động phần mềm Wireshark

•Chọn Capture và chọn Interfaces

Hình 4: Wireshark Capture Interface Window

•Chọn Start đối với interface mà bạn muốn bắt gói tin Lúc này Wireshark bắt đầu bắt tất cảcác gói tin được gửi đến hoặc nhận về máy tính.

•Sau khi đã bắt đầu bắt gói tin, một cửa sổ hiện ra như trong hình 3 Cửa sổ này hiển thịcác packet đang được bắt Chọn menu Capture và sau đó chọn Stop khi bạn muốndừng bắt gói tin Tuy nhiên, đừng dừng bắt lúc này vì bạn nên thử với một kết nối HTTP

•Trong khi Wireshark đang hoạt động, trên web browser, gõ:http://gaia.cs.umass.edu/wireshark-labs/INTRO-wireshark-file1.html và website sẽ hiện

ra trên trình duyệt Lúc này các Ethernet frames chứa các thông điệp HTTP đã được bắtbởi Wireshark

•Sau khi trình duyệt đã hiển thị trang INTRO-wireshark-file1.html (chỉ là một dòng chàomừng đơn giản), dừng bắt gói tin Cửa sổ chính của Wireshark bây giờ giống như hình 3.Bạn đã có các gói tin chứa đầy đủ các thông điệp được trao đổi giữa máy tính và webserver Thông điệp HTTP trao đổi với gaia.cs.umass.edu web server phải xuất hiện đâu

đó trong các gói tin được bắt Có nhiều loại gói tin được hiển thị (tương ứng vớinhiều giao thức) Mặc dù bạn chỉ đơn thuần download một trang web nhưng có nhiềugiao thức khác chạy bên dưới mà bạn không thấy được

•Gõ “http” (không có ngoặc kép) vào packet-display filter sau đó chọn Apply để Wiresharkchỉ hiển thị các thông điệp HTTP trong packet-listing window

•Tìm thông điêp HTTP GET được gửi từ máy tính đến gaia.cs.umass.edu server (tìm trongpacket-listing window đoạn chứa GET theo sau bởi gaia.cs.umass.edu) Sau khi chọnthông điệp HTTP GET, Ethernet frame, IP datagram, TCP segment và HTTP header sẽđược hiển thị ở packet-header window

•Thoát Wireshark

Hình 5: Cửa sổ Wireshark sau bước 9

Trả lời các câu hỏi sau đây:

1 Liệt kê 3 giao thức khác nhau xuất hiện trong cột giao thức ở bước 7 khi không ápdụng bộ lọc

2 Mất bao lâu từ khi thông điệp HTTP GET được gửi cho đến khi HTTP OK đượcnhận (mặc định, giá trị của cột thời gian trong packet-listing window là khoảngthời gian tính bằng giây kể từ khi chương trình Wireshark bắt đầu)

3 Địa chỉ IP của gaia.cs.umass.edu là gì? Địa chỉ IP của máy tính bạn là gì?

4 In 2 thông điệp HTTP (GET và OK) trong câu 2 ở trên (chọn Print từ File menu,chọn Selected Packet Only và Print as displayed, sau đó chọn OK)

I MỤC TIÊU:

Trong bài thực hành này, chúng ta sẽ khám phá một vài khía cạnh của giao thứcHTTP: thông điệp GET/response, cấu trúc của HTTP header, truy cập các file HTML dài,truy cập các file HTML có đính kèm các đối tượng, xác thực HTTP và bảo mật

II TÓM TẮT LÝ THUYẾT:

1 HTTP GET/response cơ bản

Chúng ta sẽ bắt đầu tìm hiểu HTTP bằng cách download một file HTML đơn giản.Ghi chú rằng nếu bạn không thể chạy Wireshark trên Internet thật sự thì có thể mở filehttp-ethereal-trace-1 có sẵn trong thư mục wireshark-traces

Thực hiện các bước sau khi có kết nối Internet:

 Khởi động trình duyệt web

 Khởi động Wireshark và gõ “http” vào display-filter window để Wireshark chỉ hiển thị các thông điệp HTTP

 Bắt đầu bắt gói tin

 Gõ vào trình duyệt web: http://gaia.cs.umass.edu/wireshark-labs/HTTP-

Hình 1: Cửa sổ Wireshark sau khi trang web

http://gaia.cs.umass.edu/wireshark-labs/ HTTP- wireshark-file1.html được hiển thị trên trình duyệt

Ví dụ trong hình 1 cho thấy packet-listing window chứa 2 thông điệp HTTP được bắt:thông điệp GET (từ trình duyệt gửi đến gaia.cs.umass.edu) và thông điệp response từserver đến trình duyệt Packet-contents window hiển thị chi tiết của thông điệp được chọn(trong trường hợp này thông điệp HTTP OK đang được chọn) Tạm thời chúng ta chỉquan tâm đến HTTP

Bằng cách quan sát HTTP GET và HTTP response, trả lời các câu hỏi sau:

1 Trình duyệt đang sử dụng phiên bản HTTP 1.0 hay 1.1? Phiên bản HTTP server đang sử dụng là bao nhiêu?

2 Trình duyệt hỗ trợ những ngôn ngữ nào?

3 Địa chỉ IP của máy tính bạn là bao nhiêu? Của gaia.cs.umass.edu server là bao nhiêu?

4 Mã trạng thái (status code) trả về từ server là gì?

5 Thời điểm file HTML được thay đổi lần cuối tại server là lúc nào?

6 Server đã trả về cho trình duyệt bao nhiêu bytes nội dung?

7 Bằng cách xem xét dữ thiệu thô trong packet content window, có phần dữ

Bài 2: GIAO THỨC HTTP

Khoa CNTT – Trường ĐH Công Nghệ Sài Gòn Trang

10

liệu nào không được hiển thị ra ở packet-details window hay không? Nếu có, chobiết.

2 HTTP GET/response có điều kiện

Hầu hết các web browsers đều hỗ trợ caching và thực hiện HTTP GET có điều kiện

Trước khi thực hiện các bước sau, xóa cache của trình duyệt (đối với Firefox, chọn

>Clear Recent History và chọn Cache box hoặc đối với Internet Explorer thì chọn

Tools->Internet Options->Delete File).

Ghi chú rằng nếu bạn không thể chạy Wireshark trên Internet thật sự thì có thể mở filehttp-ethereal-trace-2 trong thư mục wireshark-traces

Thực hiện các bước sau khi có kết nối Internet:

 Khởi động trình duyệt và cần đảm bảo cache của trình duyệt đã được xóa

 Khởi động Wireshark và bắt đầu bắt gói tin

 Từ trình duyệt, truy cập đến địa chỉ sau http://gaia.cs.umass.edu/wireshark-

labs/HTTP-wireshark-file2.html

Trình duyệt sẽ hiển thị một file HTML đơn giản gồm có 5 dòng

 Nhanh chóng nhập URL đó và truy cập đến một lần nữa (hoặc chọn refresh buttontrên trình duyệt)

 Dừng bắt gói tin và nhập “http” vào cửa sổ display-filter để hiển thị các thông điệp HTTP

Trả lời các câu hỏi sau:

8 Xem xét nội dung của HTTP GET đầu tiên Bạn có thấy dòng “IF- SINCE” hay không?

MODIFIED-9 Xem xét nội dung phản hồi từ server Server có thật sự trả về nội dung của file HTML hay không? Tại sao?

10.Xem xét nội dung của HTTP GET thứ 2 Bạn có thấy dòng “IF- SINCE” hay không? Nếu có, giá trị của IF-MODIFIED-SINCE là

11.Mã trạng thái HTTP được trả về từ server tương ứng với HTTP GET thứ 2 là gì?

Ý nghĩa nó là gì? Server có thật sự gửi về nội dung của file hay không? Giảithích

III NỘI DUNG THỰC HÀNH:

3 Truy cập các trang dài

Trong các ví dụ của chúng ta, trang được truy cập là những files HTML ngắn và đơngiản Chúng ta sẽ xem xét điều gì xảy ra khi download một file HTML dài

Ghi chú rằng nếu bạn không thể chạy Wireshark trên Internet thật sự thì có thể mở file http-ethereal-trace-3 trong thư mục wireshark-traces

Thực hiện các bước sau khi có kết nối Internet:

 Khởi động web browser và đảm bảo cache được xóa

 Khởi động Wireshark và bắt đầu bắt gói tin

 Từ trình duyệt, truy cập đến địa chỉ sau: http://gaia.cs.umass.edu/wireshark-

Trả lời các câu hỏi sau

12.Trình duyệt đã gửi bao nhiêu HTTP GET? Dòng “THE BILL OF

RIGHTS” được chứa trong gói tin phản hồi thứ mấy?

13.Gói tin phản hồi thứ mấy chứa mã trạng thái và ý nghĩa của nó?

14.Mã trạng thái và ý nghĩa của HTTP response là gì?

15.Cần bao nhiêu TCP segments để chứa hết HTTP response và nội dung của The Bill of Rights?

4 Văn bản HTML có chứa các đối tượng

Chúng ta sẽ xem điều gì xảy ra khi trình duyệt download một file HTML có chứa cácđối tượng (ví dụ như hình ảnh) được lưu trữ trên một hay nhiều server khác

Ghi chú rằng nếu bạn không thể chạy Wireshark trên Internet thật sự thì có thể mở file http-ethereal-trace-4 trong thư mục wireshark-traces

Thực hiện các bước sau khi có kết nối Internet:

 Khởi động web browser và đảm bảo cache đã được xóa

Trả lời các câu hỏi sau:

16.Trình duyệt đã gửi bao nhiêu HTTP GET? Đến những địa chỉ IP nào?

17.Trình duyệt download các file hình ảnh này tuần tự hay song song? Giải thích?

5 Chứng thực HTTP

Truy cập vào một website được bảo vệ bởi password và quan sát chuỗi thông điệp

http://gaia.cs.umass.edu/wireshark-labs/protected_pages/HTTP-wireshark-file5.html được bảo vệ bởi password với username là “wireshark-students” (không có ngoăc kép),

và password là “network” (không có ngoăc kép)

Ghi chú rằng nếu bạn không thể chạy Wireshark trên Internet thật sự thì có thể mở file http-ethereal-trace-5 trong thư mục wireshark-traces

Thực hiện các bước sau khi có kết nối Internet:

 Khởi động trình duyệt và đảm bảo cache đã được xóa

 Khởi động Wireshark và bắt đầu bắt gói tin

 Từ trình duyệt, truy cập đến địa chỉ sau http://gaia.cs.umass.edu/wireshark-

Trả lời các câu hỏi sau:

18.Mã trạng thái và ý nghĩa nó trong HTTP response tương ứng với HTTP GET đầu tiên là gì?

19.Khi nào trình duyệt gửi HTTP GET lần thứ 2, trường dữ liệu nào mới nào xuất hiện trong HTTP GET?

Username và password được biểu diễn dưới dạng Base64 (hệ 64) chứ không được mãhóa Để kiểm tra, truy cập http://www.motobit.com/util/base64-decoder-encoder.asp vànhập d2lyZXNoYXJrLXN0dWRlbnRz, sau đó giải mã để xem username NhậpOm5ldHdvcms=, sau đó giải mã để xem password Bởi vì ai cũng có thể downloadWireshark và thực hiện bắt trộm gói tin và ai cũng có khả năng giải mã từ Base64 sangASCII (chúng ta vừa thực hiện) nên mật khẩu được gửi qua các địa chỉ WWW không antoàn

I MỤC TIÊU:

 Tìm hiểu về hành vi của TCP và UDP

 Phân tích quá trình gửi và nhận một file 150KB từ máy khách lên máy chủ

 Tìm hiểu việc TCP sử dụng sequence number và acknowledgement number

để có thể truyền dữ liệu tin cậy

 Phân tích thuật toán điều khiển tắc nghẽn và điều khiển luồng

II NỘI DUNG THỰC HÀNH:

1 Bắt gói tin trong quá trình gửi file sử dụng TCP lên máy chủ

Ghi chú rằng nếu bạn không thể chạy Wireshark trên Internet thật sự thì có thể mở filetcp-ethereal-trace-1 có sẵn trong thư mục wireshark-traces

Thực hiện các bước sau khi có kết nối Internet:

- Mở trình duyệt Truy cập trang http://gaia.cs.umass.edu/wireshark-labs/alice.txt vàlưu file vào máy tính

- Truy cập trang http://gaia.cs.umass.edu/wireshark-labs/TCP-wireshark-file1.html

TCP và UDP

Bài 3:

Khoa CNTT – Trường ĐH Công Nghệ Sài Gòn Trang 0

- Sử dụng nút Browse trong trang web để chọn file alice.txt vừa download Đừng nhấn nút Upload alice.txt file

- Mở Wireshark và bắt đầu bắt gói (Capture -> Start)

- Quay lại trình duyệt, nhấn nút Upload alice.txt file để upload file lên server Khi

file đã được upload, một tin nhắn chúc mừng sẽ xuất hiện trên trình duyệt

Quan sát các gói tin và trả lời các câu hỏi sau: (để có minh chứng cho câu trả lời, các

bạn cần chụp lại màn hình hoặc dùng chức năng “Print” của Wireshark: File -> Print Chọn Selected packet only và Packet summary line).

1 Tìm địa chỉ IP và TCP port của máy khách gửi file cho gaia.cs.umass.edu?

2 Tìm địa chỉ IP của gaia.cs.umass.edu? Kết nối TCP dùng để gửi và nhận cácsegments sử dụng port nào?

3 TCP SYN segment sử dụng sequence number nào để khởi tạo kết nối TCP giữamáy khách và gaia.cs.umass.edu? Thành phần nào trong segment cho ta biếtsegment đó là TCP SYN segment?

4 Tìm sequence number của SYNACK segment được gửi bởi gaia.cs.umass.edu đếnmáy khách để trả lời cho SYN segment? Tìm giá trị của Acknowledgement trongSYNACK segment? Làm sao gaia.cs.umass.edu có thể xác định giá trị đó? Thànhphần nào trong segment cho ta biết segment đó là SYNACK segment?

5 Tìm sequence number của TCP segment có chứa lệnh HTTP POST?

6 Giả thiết rằng TCP segment chứa lệnh HTTP POST là segment đầu tiên của kếtnối TCP Tìm sequence number của 6 segments đầu tiên (tính cả segment có chứaHTTP POST)? Thời gian mà mỗi segment được gửi? Thời gian ACK cho mỗisegment được nhận? Đưa ra sự khác nhau giữa thời gian mà mỗi segment đượcgửi và thời gian ACK cho mỗi segment được nhận, tính RTT cho 6 segments?

Tính EstimatedRTT sau khi nhận mỗi ACK? Giả sử EstimatedRTT bằng với RTT cho segment đầu tiên, sau đó tính EstimatedRTT với công thức trong giáo trình

trang 239 cho các segment tiếp theo

7 Tìm độ dài của 6 segment đầu tiên?

8 Tìm lượng buffer còn trống nhỏ nhất mà bên nhận thông báo cho bên gửi trongsuốt file trace?

9 Có segment nào được gửi lại hay không? Thông tin nào trong file trace cho bạnbiết điều đó?

10 Lương dữ liệu mà bên nhận thường acknowledge trong một ACK? Xác định cáctrường hợp mà bên nhận ACK cho mỗi segment được nhận (bảng 3.2 trong trang

247 của giáo trình)

11 Thông lượng (throughput – byte/s) của kết nối TCP? Giải thích cách tính thônglương

3 Điều khiển tắc nghẽn

Để kiểm tra lượng dữ liệu được truyền trong một đơn vị thời gian, thay vì phải tự tính

toán trực tiếp từ dữ liệu của các gói tin, ta sử dụng một tính năng của Wireshark – Time –

Sequence – Graph (Steven)

- Chọn một segment bất kỳ trong phần danh sách các gói tin Chọn Statistics ->

TCP Stream Graph -> Time-Sequence-Graph(Steven) Ta sẽ thấy một biểu đồ

tương tự như sau:

- Mỗi chấm trong biểu đồ tượng trưng cho một TCP segment có sequence numbertương ứng với thời gian segment đó được gửi đi Lưu ý là một chồng các dấuchấm tương ứng với một chuỗi các gói tin được gửi liên tiếp nhau

- Trả lời các câu hỏi sau:

12 Sử dụng Time-Sequence-Graph để quan sát sequence number tương ứng với thờigian segment được gửi Xác định giai đoạn Slowstart bắt đầu và kết thúc, đâu làgiai đoạn tránh tắc nghẽn (Congestion Avoidance)? Đưa ra nhận xét, so sánh vớihành vi của TCP đã học trong giáo trình

13 Trả lời tương tự đối với file trace mà các bạn có được trong trường hợp các bạn tự upload file alice.txt

4 Bắt gói và phân tích UDP

- Bật Wireshark, bắt đầu bắt gói Thông thường sẽ xuất hiện một số gói tin UDPnhư SNMP sẽ xuất hiện trên danh sách các gói tin

- Ngưng bắt gói, lọc các gói tin UDP để Wireshark chỉ hiển thị các gói tin UDP.Nếu không có gói tin UDP nào thì các bạn cũng có thể sử dụng file htp-ethereal-trace-5 đã được cung cấp trong thư mục wireshark-traces

- Trả lời các câu hỏi sau:

14 Chọn một gói tin UDP, xác định các trường (field) trong UDP header?

15 Qua thông tin hiển thị của Wireshark, xác định độ dài (tính theo byte) của mỗi trường trong UDP header?

16 Giá trị của trường Length là độ dài của cái gì? Chứng minh?

17 Số bytes lớn nhất mà payload của UDP có thể chứa?

18 Giá trị lớn nhất có thể có của port nguồn?

19 Xác định protocol number của UDP (cả hệ 10 lẫn hệ 16)? Để trả lời câu hỏi này, các bạn cần phải xem trường Protocol của IP header

20 Kiểm tra một cặp gói tin gồm: gói tin do máy mình gửi và gói tin phản hồi của góitin đó Miêu tả mối quan hệ về port number của 2 gói tin