Bài tiểu luận môn quản trị mạng

TRƯỜNG ĐẠI HỌC QUẢNG NAM KHOA CÔNG NGHỆ THÔNG TIN Tiểu luận HỌC PHẦN QUẢN TRỊ MẠNG Tên đề tài TÌM HIỂU VỀ MẠNG MÁY TÍNH WIRESHARK Giảng viên Nhóm sinh viên thực hiện Lớp DL21CTT01 Quảng Nam, tháng 03.

TRƯỜNG ĐẠI HỌC QUẢNG KHOA CÔNG NGHỆ THÔNG TIN

Tiểu luận:

Phần 1 MỞ ĐẦU

1 Lý do chọn đề tài

WireShark là một bộ phân tích gói mạng (network packet analyzer) Một network packet analyzer sẽ cố gắng nắm bắt các network packets và cố gắng

hiển thị dữ liệu gói đó càng chi tiết càng tốt Một network packet

analyzer được sử dụng như một thiết bị đo lường, dùng để kiểm tra những gì

đang xảy ra bên trong cáp mạng (network cable), không khác gì chức năng của một vôn kế được thợ điện sử dụng để kiểm tra những gì đang xảy ra bên trong cáp điện.

Trước đây, các công cụ này thường hoặc là rất tốn kém, hoặc độc quyền, hoặc

cả hai Tuy nhiên, với sự ra đời của Wireshark, tất cả những điều đó đã thay đổi.

Theo Bizfly Cloud, Wireshark có lẽ là một trong những máy phân tích gói mã

nguồn mở tốt nhất hiện nay (open source packet analyzer).

2 Mục tiêu của đề tài

Tìm hiểu về mạng máy tính wireshark,

3 Đối tượng và phạm vi nghiên cứu

• Đối tượng nghiên cứu:

- Vấn đề bảo mật mạng không dây.

- Các công nghệ, mô hình và các chuẩn của mạng không dây.

- Các kiểu tấn công và các giải pháp bảo mật nổi bậc.

• Phạm vi nghiên cứu:

Thu thập các tài liệu liên quan, phân tích các thông tin liên quan đến đề tài.

4 Phương pháp nghiên cứu

Nghiên cứu tài liệu và phân tích, thu thập các thông tin liên quan

Phần 2 NỘI DUNG NGHIÊN CỨU

Chương 1: CƠ SỞ LÝ THUYẾT

“Ethereal” vào năm 2006, dự án tên là WireShark

WireShark đã phát triển mạnh mẽ và đến nay, nhóm phát triển cho đến nay đã lên tới 500 cộng tác viên Sản phẩm đã tồn tại dưới cái tên Ethereal không được phát triển thêm.

Wireshark là công cụ dùng để phân tích các giao thức của mạng Wireshark cho phép bạn xem được chi tiết các giao thức mạng hiện có, bắt các gói tin

và phân tích offline chúng, phân tích VoIP Dữ liệu có thể bắt được thông qua giao diện đồ hoạ hoặc qua TTY-mode của tiện ích TShark Wireshark có thể đọc/ghi nhiều dạng file như tcpdump (libpcap), Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer®, …

Dữ liệu nén

dạng gzip bắt được có thể giải nén ngay lập tức, ngoài ra Wireshark cũng cung cấp nhiều phương thức giải nén cho nhiều phương thức khác như IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP, … Wireshark có hỗ trợ nhiều quy tắc tô màu cho các phương thức khác nhau, giúp bạn phân tích chúng trực quan hơn.Wireshark làm việc với nhiều loại kết nối mạng, bao gồm Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI, …

Lợi ích Wireshark đem lại đã giúp cho nó trở nên phổ biến như hiện nay Nó

có thể đáp ứng nhu cầu của cả các nhà phân tích chuyên nghiệp và nghiệp dư

và nó đưa ra nhiều tính năng để thu hút mỗi đối tượng khác nhau.

1.2 Các giao thức được hỗ trợ bởi WireShark:

- WireShark vượt trội về khả năng hỗ trợ các giao thức (khoảng 850 loại),

từ những loại phổ biến như TCP, IP đến những loại đặc biệt như là

AppleTalk và Bit Torrent Và cũng bởi Wireshark được phát triển trên mô hình mã nguồn mở, những giao thức mới sẽ được thêm vào Và có thể nói rằng không có giao thức nào mà Wireshark không thể hỗ trợ.

- Thân thiện với người dùng: Giao diện của Wireshark là một trong

những giao diện phần mềm phân tích gói dễ dùng nhất Wireshark là ứng dụng đồ hoạ với hệ thống menu rât rõ ràng và được bố trí dễ hiểu Không như một số sản phẩm sử dụng dòng lệnh phức tạp như TCPdump, giao

diện đồ hoạ của Wireshark thật tuyệt vời cho những ai đã từng nghiên

cứu thế giới của phân tích giao thức.

- Giá rẻ: Wireshark là một sản phẩm miễn phí GPL Bạn có thể tải về và sử dụng Wireshark cho bất kỳ mục đích nào, kể cả với mục đích thương mại.

- Hỗ trợ: Cộng đồng của Wireshark là một trong những cộng đồng tốt và năng động nhất của các dự án mã nguồn mở

- Hệ điều hành hỗ trợ Wireshark: Wireshark hỗ trợ hầu hết các loại hệ điều hành hiện nay.

1.3 Một số tính năng nâng cao của Wireshark

1.3.1 Name Resolution

Dữ liệu truyền trong mạng thông qua một vài hệ thống địa chỉ, các địa chỉ này thường dài và khó nhớ (Ví dụ: MAC) Phân giải điạch chỉ là quá trình mà một giao thức sử dụng để chuyển đổi một địa chỉ loại này thành một địa chỉ loại khác đơn giản hơn Chúng ta có thể tiết kiệm thời gian bằng cách sử dụng một vài công cụ phân giải địa chỉ để file

dữ liệu ta bắt được dễ đọc hơn Ví dụ như là chúng ta có thể sử dụng phân giải tên DNS để giúp định danh tên của một máy tính mà ta đang

có gắng xác định như là nguồn của các gói cụ thể

Các kiểu công cụ phân giải tên trong Wireshark: có 3 loại

∙ MAC Name Resolution: phân giải địa chỉ MAC tầng 2 sang địa chỉ

IP tầng 3 Nếu việc phân giải này lỗi, Wireshark sẽ chuyển 3 byte đầu tiên của địa chỉ MAC sang tên hãng sản xuất đã được IEEE đặc

Nó quyết định dissector nào được sử dụng bằng cách sử

dụng phân tích lôgic đã được cài đặt sẵn và thực hiện việc dự đoán Thật không may là Wireshark không phải lúc nào cũng đúng trong việc lựa chọn dissector phù hợp cho một gói tin Tuy nhiên, ta có thể thay đổi việc lựa chọn này trong từng trường hợp cụ thể

1.3.3 Following TCP Streams

Một trong những tính năng hữu ích nhất của Wireshark là khả năng xem các dòng TCP như là ở tầng ứng dụng Tính năng này cho phép bạn phối hợp tất cả các thông tin liên quan đến các gói tin và chỉ cho bạn dữ liệu mà các gói tin này hàm chứa giống như là người dùng cuối nhìn thấy trong ứng dụng Còn hơn cả việc xem các dữ liệu đang được truyền giữa máy trạm và máy chủ trong một mớ hỗn độn, tính năng này sắp xếp dữ liệu để có thể xem một cách đơn giản Bạn có thể sử

gửi bởi một người làm thuê (người này đang bị nghi ngờ phát tán các thông tin tài chính của công ty)

1.3.4 Cửa sổ thống kê phân cấp giao thức

Khi bắt được một file có kích thước lớn, chúng ta cần biết được phân

bố các giao thức trong file đó, bao nhiêu phần trăm là TCP, bao nhiêu phần trăm là IP và DHCP là bao nhiêu phần trăm, Thay vì phải đếm từng gói tin để thu được kết quả, chúng ta có thể sử dụng cửa sổ thống

kê phân cấp giao thức của Wireshark Đây là cách tuyệt với để kiểm thử mạng của bạn Ví dụ, nếu bạn biết rằng 10% lưu lượng mạng của bạn được sử dụng bởi các lưu lượng ARP, và một ngày nào đó, bạn thấy lưu lượng ARP lên tới 50%, bạn hoàn toàn có thể hiểu rằng đang

có một cái gì đó không ổn xảy ra

1.3.5 Xem các Endpoints

Một Endpoint là chỗ mà kết nối kết thúc trên một giao thức cụ thể

Ví dụ, có hai endpoint trong kết nối TCP/IP: các địa chỉ IP của các hệ thống gửi và nhận dữ liệu, 192.168.1.5 và 192.168.0.8 Một ví dụ ở tầng 2 có thể là kết nối giữa hai NIC vật lý và địa chỉ MAC của chúng Các NIC gửi và nhận dữ liệu, các MAC đó tạo nên các endpoint trong kết nối

Khi thực hiện phân tích gói tin, bạn có thể nhận ra rằng bạn đã khoanh vùng vấn đề chỉ còn là một enpoint cụ thể trong mạng Hộp thoại Wireshark endpoints chỉ ra một vài thống kê hữu ích cho mỗi endpoint, bao gồm các địa chỉ của từng máy cũng như là số lượng các gói tin và dung lượng đã được truyền nhận của từng máy

1.3.6 Cửa số đồ thị IO

Cách tốt nhất để hình dung hướng giải quyết là xem chúng dưới dạng hình ảnh Cửa sổ đồ thị IO của Wireshark cho phép bạn vẽ đồ thị lưu lượng dữ liệu trên mạng Bạn có thể sử dụng tính năng này để tìm kiếm các đột biến hoặc những thời điểm không có dữ liệu truyền của các giao thức cụ thể mà bạn đang quan tâm Bạn có thể vẽ đồng thời 5 đường trên cùng một đồ thị cho từng giao thức mà bạn quan tâm bằng các màu khác nhau Điều này giúp bạn dễ dàng hơn để thấy sự khác nhau của các đồ thị

Chương 2: XỬ LÝ CÁC TÍNH HUỐNG THỰC TẾ VỚI

WIRESHARK 2.1. M t s tình hu ng c b n ộ ố ố ơ ả

Trong ph n này chúng ta s ầ ẽ đề ậ đế c p n v n ấ đề ụ ể ơ c th h n S d ng Wireshark ử ụ

và phân tích gói tin để ả gi i quy t m t v n ế ộ ấ đề ụ ể ủ c th c a m ng ạ

Chúng tôi xin đưa ra m t s tình hu ng i n hình ộ ố ố đ ể

Hình 3.1-2: These TCP retransmissions are a sign of a weak or

dropped connection

Theo thi t k , TCP s g i m t gói tin ế ế ẽ ử ộ đế đn ích, n u không nh n ế ậ được tr l i sau m tả ờ ộkho ng th i gian nó s g i l i gói tin ban ả ờ ẽ ử ạ đầu N u v n ti p t c không nh n ế ẫ ế ụ ậ được ph nả

h i, máy ngu n s t ng g p ôi th i gian ồ ồ ẽ ă ấ đ ờ đợi cho l n g i l i ti p theo ầ ử ạ ế

Nh ta th y hình trên, TCP s g i l i 5 l n, n u 5 l n liên ti p không nh n ư ấ ở ẽ ử ạ ầ ế ầ ế ậ được ph n ả

h i thì k t n i ồ ế ố được coi là k t thúc ế

Hi n tệ ượng này ta có th th y trong Wireshark nh sau:ể ấ ư

Hình 2 Windows will retransmit up to five times by default

Kh n ng xác nh gói tin b l i ôi khi s giúp chúng ta có th phát hi n ra m u tr t ả ă đị ị ỗ đ ẽ ể ệ ấ ố

m ng b m t là do âu.ạ ị ấ đ

Unreachable Destinations and ICMP Codes (không th ch m t i i m cu i và các ể ạ ớ đ ể ố

mã ICMP) M t trong các công c khi ki m tra k t n i m ng là công c ICMP ping ộ ụ ể ế ố ạ ụ

N u may m n thì phía m c tiêu tr l i l i i u ó có ngh a là b n ã ping thành công, ế ắ ụ ả ờ ạ đ ề đ ĩ ạ đcòn n u không thì s nh n ế ẽ ậ được thông báo không th k t n i t i máy ích S d ng ể ế ố ớ đ ử ụcông c b t gói tin trong vi c này s cho b n nhi u thông tin h n thay vì ch dung ụ ắ ệ ẽ ạ ề ơ ỉICMP ping bình thường Chúng ta s nhìn rõ h n các l i c a ICMP ẽ ơ ỗ ủ

Hình 3.1-5: A standard ping request from 10.2.10.2 to 10.4.88.88

Hình dướ đi ây cho th y thông báo không th ping t i 10.4.88.88 t máy 10.2.99.99 ấ ể ớ ừ

Nh v y so v i ping thông thư ậ ớ ường thì ta có th th y k t n i b ể ấ ế ố ị đứ ừt t 10.2.99.99 Ngoài

ra còn có các mã l i c a ICMP, ví d : code 1 (Host unreachable) ỗ ủ ụ

Hình 3.1-6: This ICMP type 3 packet is not what we expected

Unreachable Port (không th k t n i t i c ng) ể ế ố ớ ổ

M t trong các nhi m v thông thộ ệ ụ ường khác là ki m tra k t n i t i m t c ng trên m tể ế ố ớ ộ ổ ộmáy ích Vi c ki m tra này s cho th y c ng c n ki m tra có m hay không, có s nđ ệ ể ẽ ấ ổ ầ ể ở ẵsang nh n các yêu c u g i ậ ầ ử đến hay không

Ví d , ụ để ki m tra d ch v FTP có ch y trên m t server hay không, m c nh FTP sể ị ụ ạ ộ ặ đị ẽlàm vi c qua c ng 21 ch ệ ổ ở ế độ thông thường Ta s g i gói tin ICMP ẽ ử đến c ng 21 c aổ ủmáy ích, n u máy ích tr l i l i gói ICMP lo i o và mã l i 2 thì có ngh a là khôngđ ế đ ả ờ ạ ạ ỗ ĩ

th k t n i t i c ng ó.sể ế ố ớ ổ đ

This ping request requires three packets rather than one because the data being

transmitted is above average size

ây có th th y kích th c gói tin ghi nh n c l n h n kích th c gói tin m c nh

g i i khi ping là 32 bytes t i m t máy tính ch y Windows ử đ ớ ộ ạ

Kích thước gói tin ây là 3,072 bytes ở đ

Determining Whether a Packet Is Fragmented (xác nh v trí gói đị ị

tin b phân o n) No Connectivity (không k t n i) ị đ ạ ế ố

V n ấ đề : chúng ta có 2 nhân viên m i H i và Thanh và ớ ả được s p ng i c nh nhau và ắ ồ ạ

ng nhiên là c trang b 2 máy tính Sauk hi c trang b và làm các thao tác

a 2 máy tính vào m ng, có m t v n x y ra là máy tính c a H i ch y t t, k t n i

m ng bình thạ ường, máy tính c a Thanh không th truy nh p Internet ủ ể ậ

M c tiêu : tìm hi u t i sao máy tính c a Thanh không k t n i ụ ể ạ ủ ế ố được Internet và s a l i ó.ử ỗ đ

Các thông tin chúng ta có

∙ C 2 máy tính ả đều m i ớ

∙ C 2 máy ả đề đượ đặu c t IP và có th ping ể đến các máy khác trong m ng ạ

Nói tóm l i là 2 máy này ạ được c u hình không có gì khác nhau ấ

Ti n hành ế

Cài đặt Wireshark tr c ti p lên c 2 máy ự ế ả

Phân tích

Trước h t trên máy c a H i ta nhìn th y m t phiên làm vi c bình thế ủ ả ấ ộ ệ ường v i HTTP.ớ

u tiên s có m t ARP broadcast tìm a ch c a gateway t ng 2, ây là

192.168.0.10 Khi máy tính c a H i nh n ủ ả ậ được thông tin nó s b t tay v i máy gatewayẽ ắ ớ

và t ó có phiên làm vi c v i HTTP ra bên ngoài ừ đ ệ ớ

Hình 3.1-12: H i’s computer completes a handshake, and then HTTPả

data transfer begins

Trường h p máy tính c a Thanh ợ ủ

Hình 3.1-13: Thanh’s computer appears to be sending an ARP request to a different IP address Hình trên cho th y yêu c u ARP không gi ng nh trấ ầ ố ư ường h p trên ợ ở Địa ch ỉgateway được tr v là 192.168.0.11 ả ề

Nh v y có th th y NetBIOS có v n ư ậ ể ấ ấ đề

NetBIOS là giao th c c nó s ứ ũ ẽ được thay th TCP/IP khi TCP/IP không ho t ế ạ động Như

v y là máy c a Thanh không th k t n i Internet v i TCP/IP ậ ủ ể ế ố ớ

Chi ti t yêu c u ARP trên 2 máy : ế ầ

Máy H i ả

Máy Thanh

K t lu n ế ậ : máy Thanh t sai a ch gateway nên không th k t n i Internet, c n t đặ đị ỉ ể ế ố ầ đặ

l i là 192.168.0.10 ạ The Ghost in Internet Explorer (con ma trong trình duy t IE) ệ

Hi n t ệ ượ ng : máy tính c a A có hi n tủ ệ ượng nh sau, khi s d ng trình duy t IE, trình ư ử ụ ệduy t t ệ ự động tr ỏ đến r t nhi u trang qu ng cáo Khi A thay ấ ề ả đổ ằi b ng tay thì v n b hi nẫ ị ệ

Vì hi n tệ ượng này ch x y ra trên máy c a A và trang home page c a A b thay ỉ ả ủ ủ ị đổi khi

b t IE nên chúng ta s ti p hành b t gói tin t máy c a A Chúng ta không nh t thi tậ ẽ ế ắ ừ ủ ấ ế

ph i cài Wireshark tr c ti p t máy c a A Chúng ta có th dùng k thu t ả ự ế ừ ủ ể ỹ ậ

“Hubbing Out”

Phân tích

Hình 3.1-16: Since there is no user interaction happening on A’s computer at the time

of this capture, all of these packets going across the wire should set off some alarms

Chi ti t gói tin th 5: ế ứ

Hình 3.1-17: Looking more closely at packet 5, we see it is trying to download

data from the Internet

T máy tính g i yêu c u GET c a HTTP ừ ử ầ ủ đế địn a ch nh trên hình ỉ ư

Hình 3.1-18: A DNS query to the weatherbug.com domain gives a clue

to the culprit

Gói tin tr l i b t ả ạ ắ đầu có v n ấ đề : th t các ph n b thay ứ ự ầ ị đổi

M t s gói ti p theo có s l p ACK ộ ố ế ự ặ

Sau m t lo t các thay ộ ạ đổi trên thì có truy v n DNS ấ đến

deskwx.weatherbug.com ây là a ch A không h bi t và Đ đị ỉ ề ế

không có ý nh truy c p đị ậ

Nh v y có th là có m t process nào ó ã làm thay ư ậ ể ộ đ đ đổ địi a ch trang ch m i khi IE ỉ ủ ỗ

c b t lên Dùng m t công c ki m tra process n ví d nh Process Explore và th y

r ng có ti n trình weatherbug.exe ang ch y Sau khi t t ti n trình này i không còn ằ ế đ ạ ắ ế đ

hi n tệ ượng trên n a.ữ

Thông thường các ti n trình nh weatherbug có th là virus, spyware ế ư ể

Giao di n Process Exploreệ

L i k t n i FTP ỗ ế ố

Tình hu ng ố : có tài kho n FTP trên Windows Server 2003 ã update service packs v aả đ ừcài đặt xong, ph n m m FTP Server hoàn toàn bình thầ ề ường, kho n úng nh ng không ả đ ưtruy nh p ậ được Thông tin chúng ta có

∙ FTP làm vi c trên c ng 21 ệ ổ

Ti n hành ế

Cài đặt Wireshark trên c 2 máy ả

Phân tích

Client:

Hình 3.1-19: The client tries to establish connection with SYN packets but gets no

response; then it sends a few more

Client g i các gói tin SYN ử để ắ b t tay v i server nh ng không có ớ ư

∙ C ng 21 b c m phía clien ho c phía server ho c c 2 phía Sau khi ki m tra ổ ị ấ ở ặ ặ ở ả ể

và th y r ng phía Server c m c ng 21 c chi u Incoming và Outgoing trong ấ ằ ở ấ ổ ả ềLocal Security Policy

Ti n hành : ế đặt wireshark l ng nghe toàn b ắ ộ đầu ra c a m ng ủ ạ

Phân thích : hình nh dả ướ đi ây cho th y có r t nhi u k t n i TCP,HTTP i u này có ấ ấ ề ế ố đ ềngh a là có r t nhi u k t n i HTTP download d li u v nên chi m b ng thông c a ĩ ấ ề ế ố ữ ệ ề ế ă ủ

m ng.ạ

M c a s ở ử ổ Alalyze->Expert Infos th y thêm thông tin.để ấ

M c nh ặ đị Expert Infos hi n th t t c các thông tin N u ch hi n th ể ị ấ ả ế ỉ ệ ị

Error+Warn+Note thì ta s có các thông tin sau.ẽ